Czy umiesz współpracować z testerami bezpieczeństwa? A może tylko wydaje ci się, że umiesz? Przeczytaj poradnik dla mamagerów, aby mieć pewność, że testy twojej aplikacji zawsze przebiegają efektywnie!
Z doświadczenia wiem, że nieczęsto się zdarza, żeby firmy rekrutujące testerów wiedziały jak postępować z testami i innymi sprawami związanymi z bezpieczeństwem. Jestem pewny, że cała branża skorzystałaby na tym, gdyby managerowie, którzy nie mają doświadczenia w postępowaniu z testerami, zrobiliby przed rozpoczęciem współpracy mały research, poradzili się bardziej doświadczonych kolegów lub przeczytali poradnik, taki jak na przykład ten. Dowiesz się z niego jak efektywnie przejść przez proces testów penetracyjnych, jak wdrażać programy bug bounty i jak efektywnie przeprowadzać resztę procesów związanych z bezpieczeństwem.
Przyjrzyjmy się więc najważniejszym zagadnieniom, o jakich musi wiedzieć każdy manager i członek teamu security, żeby podnieść jakość współpracy z zewnętrzną firmą.
Staraj się budować długoterminową relację z pentesterami już od pierwszego dnia współpracy.
W zalewie tak wielu niskiej klasy firm pentestingowych, powinieneś właściwie docenić porządny zespół, jak tylko na taki trafisz. Bywa, że test musi zostać przeprowadzony z dnia na dzień, więc dobrze zaprzyjaźnić się z kimś, kto jest zawsze chętny do pomocy i potrafi “wcisnąć” cię w swój harmonogram bez kolejki.
Zrozumiałe, ze możesz niechętnie podchodzić do poświęcania własnego czasu na budowanie wątpliwej relacji z firmą zajmującą się świadczeniem zautomatyzowanych testów zgodności, jednak ogólny zamysł jest taki, żeby szanować się wzajemnie i wykorzystać każdą okazję do zawarcia wartościowych znajomości.
Jasno przedstawiaj swoje oczekiwania i bądź otwarty na propozycje.
Możesz nie potrzebować pełnych testów penetracyjnych, a twoje wymagania lepiej zaspokoi skrócony audyt bezpieczeństwa. Dlatego warto budować zdrowe relacje z pentesterami, którzy potrafią szczerze i profesjonalnie doradzić, tak abyś nie marnował pieniędzy na sprawy, których tak naprawdę nie potrzebujesz.
Komunikuj się z pentesterami.
Jeśli chcą znać szczegóły twojego ekosystemu – proszę bardzo.Udzielaj pentesterom wszystkich informacji, o jakie poproszą, dzięki temu z łatwością zaadaptują się do twoich potrzeb. Mów o tym, co jest dla ciebie ważne, jakie rodzaje danych są cenne, jakie są krytyczne komponenty twojej sieci/aplikacji. Jeśli cała papierologia się zgadza, to śmiało możesz dzielić się z nimi swoją opinią o mocnych i słabych stronach badanej sieci.
Po zakończeniu testów nie zadowalaj się tylko papierowym raportem z surowymi danymi.
Pogadaj z testerami. Wypytaj o ich zdanie na temat twojej architektury i zapisz wszystkie techniczne porady, jakie tylko mają. Nawet pomimo tego, że nie znają twojego modelu biznesowego zbyt dobrze, to widzieli w życiu sporo innych firm, więc mogą mieć coś mądrego do powiedzenia: na przykład jakie elementy twojego systemu warto i można ulepszyć. Będą zachwyceni, jeśli tylko ich o to zapytasz.
Gdy tylko pokażesz, że naprawdę ci zależy, na pewno dostrzeżesz, że testerzy z największą ochotą poświęcą ci dodatkowy czas – oni po prostu mają już dość klientów zlecających testy tylko po to, żeby dostać przysłowiowy “papierek”, a wcale nie obchodzi ich implementowanie jakichkolwiek poprawek i ulepszeń.
Umów się na krótką rozmowę z ludźmi, którzy testowali twój system i produkty.
Pentesterzy rzadko mają bezpośredni kontakt z klientami, dla których pracują, przez co nie mają okazji szczerze wyrazić swoich myśli. Ich opinie są zazwyczaj filtrowane przez managerów i innych pośredników. Jeśli więc chcesz dowiedzieć się więcej, niż to co przeczytałeś w raporcie, umów się na krótką rozmowę z kimś, kto faktycznie pracował przy twoim projekcie.
Unikaj formalności w kontaktach z testerami
Uważaj na swój ton i unikaj postawy bierno-agresywnej. Kiedy uważasz, że nie otrzymałeś dość informacji, nie wysyłaj od razu formalnych ponagleń i maili, w których domagasz się więcej danych. Pamiętaj, że interakcje społeczne działają w dwie strony i jeśli będziesz zbyt formalnie podchodził do kontaktów z testerami, z którymi współpracujesz, to będą robić tylko tyle, na ile zgodzili się podpisując umowę i ani trochę więcej. Zdaję sobie sprawę, że kiedy wskazuje się komuś słabe punkty w wykonanej pracy w grę wchodzą też emocje, ale koniecznie zawsze zachowuj spokój.
Więcej porad już wkrótce!