Penetration testing giúp các tổ chức đảm bảo hệ thống IT của họ được bảo mật, nhưng không bao giờ nên áp dụng một cách tiếp cận rập khuôn (one-size-fits-all). Các phương pháp truyền thống có thể cứng nhắc và tiêu tốn thời gian, tiền bạc của tổ chức bạn – đồng thời mang lại kết quả kém hiệu quả.
Lợi ích của pen testing rất rõ ràng. Bằng cách cho phép các hacker "mũ trắng" (white hat) cố gắng xâm nhập hệ thống của bạn bằng các công cụ và kỹ thuật tương tự như một đối thủ, pen testing có thể mang lại sự đảm bảo rằng hệ thống IT của bạn an toàn. Có lẽ quan trọng hơn, nó cũng có thể chỉ ra các lĩnh vực cần cải thiện.
"Đội ngũ tài chính của bạn theo dõi chi tiêu và thu nhập hàng ngày. Một cuộc kiểm toán của một nhóm bên ngoài sẽ đảm bảo rằng các quy trình nội bộ của đội ngũ bạn là đầy đủ."
Mặc dù những lợi thế là rõ ràng, điều quan trọng là phải hiểu chi phí thực sự của quá trình này: thực tế, cách tiếp cận cổ điển thường có thể đòi hỏi đáng kể thời gian và nỗ lực từ đội ngũ của bạn. Bạn cần nhận được giá trị xứng đáng với số tiền bỏ ra.
Chi phí ẩn của Pen testing
Không có một hình thức pen test cố định nào: nó phụ thuộc vào chính xác những gì đang được kiểm tra, tần suất thực hiện pen test và cách nó diễn ra. Tuy nhiên, có một số yếu tố chung của cách tiếp cận cổ điển có thể tạo ra chi phí đáng kể, cả về tài chính và thời gian của nhân viên bạn.
Hãy cùng xem xét một số chi phí có thể không rõ ràng ngay lập tức.
Chi phí quản lý phát sinh
Có thể có đáng kể công việc admin liên quan đến việc sắp xếp một đợt pen test "truyền thống". Đầu tiên, bạn cần phối hợp lịch trình giữa tổ chức của mình và các tester mà bạn đã thuê để thực hiện bài kiểm tra thay mặt bạn. Điều này có thể gây gián đoạn đáng kể cho nhân viên của bạn, làm họ xao nhãng khỏi các nhiệm vụ hàng ngày.
Hơn nữa, bạn sẽ cần phát triển một cái nhìn tổng quan rõ ràng về các tài nguyên và tài sản bạn có trước khi bài kiểm tra có thể diễn ra, chẳng hạn bằng cách thu thập các bản kiểm kê hệ thống. Bạn cũng sẽ cần chuẩn bị thông tin đăng nhập (access credentials) cho các hacker, tùy thuộc vào loại phương pháp pen testing bạn định áp dụng: ví dụ, các tester có thể cần các thông tin đăng nhập này để phát triển một kịch bản dựa trên nguy cơ một nhân viên bất mãn nhắm mục tiêu vào hệ thống của bạn.
Sự phức tạp trong việc xác định phạm vi
Một lần nữa, việc xác định phạm vi chính xác của bài kiểm tra là quan trọng – cái gì nằm "trong phạm vi" (in-scope) đối với các hacker, và cái gì nên nằm ngoài phạm vi (out of scope)?
Điều này sẽ được xác định nội bộ và sẽ được xây dựng dựa trên một số yếu tố, tùy thuộc vào nhu cầu chính xác của tổ chức; ví dụ, có thể có một số ứng dụng không thể đưa vào bài kiểm tra. Dù lý do là gì, việc xác định phạm vi tổng thể của việc kiểm thử sẽ mất thời gian.
Tất nhiên, điều này không cố định: một số tổ chức có thể làm việc với các môi trường rất phức tạp, thay đổi theo thời gian. Bạn sẽ cần dành tài nguyên để đánh giá tác động tiềm ẩn của những thay đổi này – khi môi trường của bạn thay đổi, liệu bạn có nên đưa các yếu tố mới vào để các tester nhắm mục tiêu không?
Tất cả điều này làm tăng nguy cơ "scope creep", nơi một pen test mở rộng vượt ra ngoài mục tiêu ban đầu, tạo ra công việc bổ sung – và chi phí – cho cả đội ngũ nội bộ và các tester bên ngoài.
Chi phí gián tiếp
Như chúng ta đã thấy, bản chất của pen testing có thể gây ra những rủi ro gián đoạn đáng kể cho đội ngũ của bạn, bao gồm gián đoạn hoạt động trong suốt thời gian kiểm thử. Điều quan trọng là phải kiểm soát điều này ngay từ đầu.
Cũng có thời gian và chi phí liên quan đến remediation (khắc phục), một giai đoạn khá mơ hồ có thể bao gồm tham vấn với các tester để khắc phục và giải quyết bất kỳ vấn đề nào có thể phát sinh trong quá trình pen testing. Điều này thậm chí có thể liên quan đến việc re-testing – tiến hành một đợt pen test khác để kiểm tra xem mọi thứ hiện đã an toàn và bảo mật chưa.
Tất cả những điều này có thể cộng thêm thời gian và tiền bạc cho tổ chức của bạn.
Thách thức quản lý ngân sách
Bạn cũng sẽ cần xem xét cách bạn chi trả cho công việc. Chẳng hạn, bạn chọn mô hình định giá cố định (fixed-cost pricing model), nơi các tester đưa ra một mức giá cố định? Hay bạn chọn "thời gian và vật liệu" (time and materials), nơi họ đưa ra mức giá theo giờ dựa trên số giờ ước tính (hoặc thông qua một thước đo khác), nhưng thêm vào bất kỳ khoản nào vượt quá ước tính này?
"Có một lý do khiến việc định chuẩn chi phí penetration testing trở nên khó khăn: mỗi bài kiểm tra với mỗi công ty đều là duy nhất," Network Assured, đơn vị cung cấp hướng dẫn định giá độc lập về pen testing và các dịch vụ an ninh mạng khác, lưu ý.
Trong trường hợp đó, làm thế nào bạn có thể đạt được lợi tức đầu tư tốt nhất và tối ưu hóa hiệu quả chi phí?
Pen testing dưới dạng dịch vụ (PTaaS)
Để đảm bảo bạn nhận được chính xác khả năng pen testing bạn cần (với chi phí phù hợp), cách tiếp cận "dưới dạng dịch vụ" (as-a-service) có thể mang lại lợi ích lớn. Một cách tiếp cận như vậy có thể được tùy chỉnh theo nhu cầu của bạn, giảm thiểu rủi ro lãng phí công sức không cần thiết.
Ví dụ, CyberFlex của Outpost24 kết hợp sức mạnh của các giải pháp Pen-testing-as-a-service (PTaaS) và External Attack Surface Management (EASM) của chúng tôi, cung cấp khả năng bao phủ liên tục bề mặt tấn công ứng dụng (application attack service) trên một mô hình tiêu thụ linh hoạt. Điều này cho phép các tổ chức có cái nhìn toàn diện về chi phí và khả năng của họ, đồng thời đáp ứng các nhu cầu về khám phá, ưu tiên và báo cáo mà họ yêu cầu.
Pen testing là rất quan trọng để bảo vệ hệ thống của tổ chức bạn, nhưng một khả năng tiên tiến không nhất thiết phải tốn kém. Bằng cách áp dụng một cách tiếp cận thông minh, dựa trên việc cung cấp các dịch vụ bạn cần vào đúng thời điểm, bạn có thể phát hiện các lỗ hổng cần giải quyết, mà không gây ra sự gián đoạn không đáng có hoặc phát sinh chi phí không cần thiết. Đặt lịch demo CyberFlex trực tiếp ngay hôm nay.
