Ценообразование пентестов: от чего зависит и как складывается

Ценообразование пентестов: от чего зависит и как складывается

Ценообразование пентестов: от чего зависит и как складывается

Цены на пентесты (тестирование на проникновение) в России зависят от многого: уровня зрелости кибербезопасности компании-заказчика, масштаба последней, охвата работы, модели злоумышленника, а также от опыта, репутации и нормы прибыли отдельных исполнителей. Для ориентирования в этих переменных и реалистичной оценки предложений разберёмся, из чего складывается себестоимость таких проектов.

 

 

 

 

 

  1. Введение
  2. Каждой компании — свой уровень злоумышленника
    1. 2.1. Компания с начальным уровнем зрелости ИБ
    2. 2.2. Компания со средним уровнем зрелости ИБ
    3. 2.3. Компания с высоким уровнем зрелости ИБ
  3. Соотношение ресурсов хакеров и пентестеров
  4. Ценообразование
  5. Выводы

Введение

От заказчиков часто можно услышать, что «все говорят одинаково — дескать, самые опытные, самые компетентные и самые сертифицированные, — а цены называют разные». На самом деле никакие регалии пентестеров сами по себе не решают задачи бизнеса — проверить и предупредить риски безопасности. Давайте разберёмся, как определить исполнителей, которые могут эту задачу решить, из чего складывается стоимость тестирования и как выбирать подрядчиков не только по цене.

Каждой компании — свой уровень злоумышленника

Стоимость тестирования компании напрямую зависит от зрелости процессов информационной безопасности внутри неё. Это связано с моделью злоумышленника, от которого бизнес хочет защититься. Модель влияет на то, насколько сложными будут имитация атаки и проводимые работы на проекте.

Сравним на примерах, как меняется модель злоумышленника в зависимости от зрелости ИБ и как от этого растут ресурсы для тестирования.

Компания с начальным уровнем зрелости ИБ

Не уделяет постоянного внимания информационной безопасности. Инфраструктура полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почта, отслеживание задач, 1С, CRM, FTP и т. п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.

Риски для такой компании:

  • компрометация корпоративных сайтов, 
  • получение доступа во внутреннюю сеть, 
  • заражение рабочих станций вредоносными программами и шифрование базы 1С.

Портрет злоумышленника

Велик риск попасть под автоматизированную атаку: злоумышленники просто сканируют сеть на наличие известных уязвимостей, а обнаружив «дыру в безопасности», эксплуатируют её. Сервисы может атаковать любой человек, который использует доступные инструменты взлома, почитав статьи на форумах или посмотрев видео на YouTube. Моделью злоумышленника здесь будет «школьник», или «script kiddie», — тот, кто пользуется готовыми скриптами и программами, не понимая механизмов их действия. Такие люди слишком неопытны, чтобы самостоятельно написать эксплойт или сложную программу для взлома.

Ресурсы для имитации атаки

Для таких инфраструктур будет достаточным просто проверить отсутствие публичных уязвимостей. Чтобы имитировать соответствующую модель злоумышленника, достаточно одного младшего специалиста-пентестера и 5–7 рабочих дней.

Компания со средним уровнем зрелости ИБ

Уделяет отдельное внимание информационной безопасности. Часть инфраструктуры может находиться на собственных серверах, часть — на арендуемых. На внешнем уровне кроме стандартных сервисов могут быть также самописные. В штате есть как минимум 1–2 выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контуров. Такие компании обычно проводят анализ защищённости не реже одного раза в год.

Риски для такой компании:

  • компрометация корпоративных сайтов,
  • получение доступа во внутреннюю сеть,
  • блокировка основных бизнес- и производственных процессов,
  • потеря конфиденциальных данных и клиентских БД.

Портрет злоумышленника

Злоумышленнику придётся применять более совершенные техники и методы взлома для реализации атаки против этой компании, использовать технические или логические уязвимости. Наиболее точное описание злоумышленника этого уровня — когда говорят про украинских, индийских или китайских хакеров. Они могут выявлять уязвимые места на сайте или в приложении, посылая в него разнообразные запросы, изучать реакцию системы и менять вектор атаки в зависимости от ответа. Они существенно автоматизируют эксплуатацию публичных уязвимостей различной степени сложности. Как правило, целью являются шантаж и вымогательство.

Ресурсы для имитации атаки

Оптимальный состав команды — один специалист топ-уровня и один-два специалиста среднего уровня. Длительность подобного проекта составит 15–20 рабочих дней, включая пару дней на составление отчёта.

Компания с высоким уровнем зрелости ИБ

Это крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков, владеть критической инфраструктурой или быть системообразующим бизнесом, в т. ч. обслуживающим миллионы физических лиц. В её штате есть обособленные отделы или департаменты ИБ, которые непрерывно улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный центр мониторинга (SOC) или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.

Риски для такой компании:

  • шифрование и блокировка всех процессов внутри компании без возможности восстановления,
  • утечки баз с сотнями тысяч и миллионами строк персональных данных клиентов-физлиц,
  • непоправимые репутационные потери,
  • компрометация других компаний, в чьи цепочки поставок она интегрирована, и т. п.

Портрет злоумышленника

Свой ИБ-департамент, SOC, множество средств защиты и регулярные проверки — это весомые причины, по которым хакеры-одиночки откажутся тратить время на взлом такой компании. Но в случае целенаправленных (в том числе и выполняемых по заказу) атак ко взлому подключаются настоящие профессионалы и APT-команды, спецслужбы недружественных стран и связанные с ними группировки.

Ресурсы для имитации атаки

Для имитации действий злоумышленников такого уровня вся команда должна состоять из специалистов топ-уровня с умением обходить средства защиты и скрывать свои действия от защитников (Blue Team) заказчика. Им нужно уметь применять непубличные эксплойты и уязвимости «нулевого дня», которые отдельные исполнители собирают и выкупают в даркнете и о существовании которых заказчик узнаёт только заказав подобный проект.

В составе команды может быть до 4–5 топовых специалистов на протяжении всего проекта с периодическим подключением специалистов узкого профиля, глубоко погружённых в уникальные вопросы, которые могут возникнуть по ходу проекта.

Особенностью такого тестирования (Red Team) кроме сложности является продолжительность. Срок полноценной реализации обычно составляет от трёх месяцев до полугода, в зависимости от целей, которые ставит заказчик.

Соотношение ресурсов хакеров и пентестеров

Поскольку существует гигантский разрыв в подготовке и возможностях хакеров (например, если сравнить «школьников» с APT-группировкой), очевидно, что и имитация хакерской атаки может быть разной — согласно тому, от чего бизнес хочет защититься. Выбор пентеста полностью зависит от уровня зрелости бизнеса в сфере ИБ.

 

Таблица 1. Количество и качество работ в пентест-проектах (по модели злоумышленника и зрелости ИБ в компании)

Уровень ИБ

Злоумышленник

Основные угрозы

Имитация 

(связь с пентестом)

Специалисты

Низкий

Неопытный (script kiddie)

  • Использование готовых инструментов и программ без понимания их работы
  • DDoS-атаки с использованием публичных ботнетов
  • Распространение готовых вирусов через социальные сети
  • Автоматизированная эксплуатация простых SQL-инъекций
  • Автоматизированное сканирование уязвимостей
  • Фишинг (сайт)

Младший уровень (junior)

Средний

Хактивист, начинающий хакер 

  • DDoS-атаки с использованием собственных ресурсов
  • Фишинг с созданием собственных страниц
  • Использование уязвимостей среднего уровня сложности, которые нашли автоматизированные средства
  • Взлом аккаунтов через утечки баз данных
  • Осуществление атак на веб-сайты в политических или социальных целях
  • Автоматизированное сканирование уязвимостей
  • Фишинг (вложение, сайт)
  • Простое стресс-тестирование (DoS)
  • Анализ защищённости

Средний уровень (middle)

Высокий

Хакер

  • Написание собственных эксплойтов под уязвимости
  • Создание и распространение сложных вредоносных программ
  • Взлом корпоративных сетей и систем
  • Ручная эксплуатация уязвимостей
  • Скрытое проникновение и длительное пребывание в системе жертвы
  • Финансовое мошенничество и кражи данных с помощью фишинга
  • Тестирование на проникновение
  • Распределённое стресс-тестирование (DoS)
  • Фишинг (вложение, сайт)
  • Тестирование средств защиты информации

Команда: средний и старший (senior) уровни

Весьма высокий

APT-группировка

  • Целенаправленные атаки на государственные и крупные корпоративные объекты
  • Использование сложных методов маскировки, обхода защиты 
  • Создание и использование собственных уязвимостей «нулевого дня» 
  • Проникновение в инфраструктуру с длительным скрытным пребыванием
  • Кража государственной и коммерческой тайны
  • Red Team
  • Тестирование и обход средств защиты информации
  • Фишинг (вложение, сайт)
  • Использование эксплойтов «первого дня» 
  • Обучение команды защиты (Blue Team)

Команда: старший и высший (lead) уровни

 

Численность, оснащённость, подготовленность, осведомлённость потенциальных нарушителей и состав их действий — это то, что нужно будет имитировать пентестерам на проекте, поэтому договориться обо всём этом следует «на берегу» и только по этим критериям определять справедливую цену.

Ценообразование

Итак, теперь, когда стали понятны модели злоумышленников и способы имитации их деятельности, можно описать ценообразование.

Как понять, сколько должен стоить пентест по модели «школьника», который будет длиться пять рабочих дней и делаться руками «джуна», а сколько должен стоить Red Teaming, который займёт три месяца и задействует группу топовых специалистов?

Давайте прольём свет на состав проектной команды и себестоимость их труда!

 

Таблица 2. Корреляция стоимости проектов в зависимости от модели злоумышленника и уровня оплаты труда пентестеров

Уровень зрелости бизнеса

Модель злоумышленника

Требования к исполнителям пентестов

Трудочасы

Стоимость проекта*

Начальный: нет ИБ, есть только ИТ-отдел

Неопытный (script kiddie)

  • Младший уровень — опыт от одного года

≈ 60 часов

200–400 тыс. рублей

Средний: есть небольшой ИБ-отдел

Хакер

  • Средний уровень — два человека
  • Руководитель — старший уровень
  • Профильные сертификаты: OSCP, OSCE, eWPTX
  • Опыт от трёх лет

≈ 350 часов

400–1000 тыс. рублей

Высокий: свой ИБ-департамент

АРТ-группировка

  • Команда специалистов старшего уровня (3–5 человек) и руководитель высшего уровня
  • Опыт от пяти лет
  • Сертификаты международного уровня: OSCP, OSCE, eWPTX
  • «Залы славы» 
  • Участие в программах вознаграждений за уязвимости (Bug Bounty)

От трёх месяцев

1,5–12 млн рублей

* Цены приблизительны, зависят от целей и количества объектов тестирования

Средняя зарплата специалистов находится в открытом доступе. У «джуна» она начинается от 70 тыс. рублей, у «мидла» — от 150 тыс., у топовых специалистов заработок стартует от 400 тыс. рублей и часто не имеет предела благодаря уникальным компетенциям на фоне кадрового дефицита на рынке. Понятно, что пентест, в ТЗ которого есть требования к топовым специалистам, по всем законам логики не может стоить 200 тыс. рублей.

Себестоимость проекта складывается из:

  • состава команды, 
  • заложенного количества рабочих дней на проект, 
  • модели тестирования (чёрный / серый / белый ящик), 
  • охвата тестирования (опубликованные сервисы, Wi-Fi и т. д.), 
  • даты последнего аудита и прочих переменных.

Для разных объектов тестирования будут разные подходы к командам и калькуляции.

Поэтому нет низкой или высокой цены пентеста, есть только потребность бизнеса в проверке определённого уровня. Определив уровень сложности, можно рассчитать справедливую стоимость тестирования.

Не нужно тратиться на сверхсложный дорогой Red Teaming, если компания только начала развивать ИБ-процессы. Точно так же не стоит впустую тратить деньги на пентест по модели нарушителя «школьник», если компания регулярно проводит проверки, отлаживает механизмы защиты и её процессы ИБ уже более зрелы.

Кроме цены нужно учитывать:

  • потребности бизнеса в проверке определённого уровня,
  • объём работ, который нужно выполнить для достижения цели проекта, 
  • уровень специалистов, их опыт и общепризнанные заслуги: сертификаты OSCP, OSCE, eWPTX; участие в программах Bug Bounty, «залах славы», исследованиях и т. д., 
  • модель злоумышленника.

Выводы

Существует прямая зависимость стоимости пентеста от модели злоумышленника и уровня зрелости ИБ в компаниях. И это — именно те переменные, которые могут неоднозначно трактоваться как заказчиками, так и исполнителями, существенно влияя на разброс цен. Ориентируясь в этих вводных, вы сможете реалистично оценивать любые предложения, видеть несоответствия, понимать размер наценки и компетентность исполнителей, а также наконец ответить себе на вопрос о том, почему один и тот же пентест у кого-то стоит 200 тысяч, а у кого-то — 5 миллионов.

Чтобы выбрать оптимальное решение, не переплатить и получить тот результат, который удовлетворит потребности бизнеса, нужно понимать, от кого вы защищаетесь.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru