Ценообразование пентеста
Почему одно и то же техзадание исполнители оценивают
то в 200 тысяч, то в 5 миллионов?
Каждой компании —
свой уровень злоумышленника
Стоимость тестирования компании напрямую зависит от зрелости процессов информационной безопасности внутри нее. Это связано с моделью злоумышленника, от которого бизнес хочет защититься. А модель злоумышленника влияет на сложность имитации атаки и проводимых работ на проекте.
Мы можем сравнить на примерах, как меняется модель злоумышленника в зависимости
от зрелости ИБ и как от этого растут ресурсы
для тестирования.
Компания с начальным
уровнем зрелости ИБ
Сеть круглосуточной доставки цветов
Не уделяет постоянное внимание информационной безопасности. Инфраструктура полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.
Ресурсы для имитации злоумышленника
Компания со средним
уровнем зрелости ИБ
Производитель
сельскохозяйственного
оборудования «Рога и копыта»
Уделяет отдельное внимание информационной безопасности. Часть инфраструктуры может находится на собственных серверах и частично в арендуемых. На внешнем уровне кроме стандартных сервисов могут быть также самописные. В штате есть как минимум 1-2 выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.
Проверить отсутствие публичных уязвимостей
1 младший специалист-пентестер
5-7 рабочих дней
Ресурсы для имитации злоумышленника
Компания с высоким
уровнем зрелости ИБ
Федеральный
ретейлер «Шестерочка»
Это крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц.

В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
Ресурсы для имитации злоумышленника
Для имитации действий злоумышленников такого уровня вся команда должна состоять из специалистов топ-уровня с умением обходить средства защиты и скрывать свои действия от Blue Team заказчика. Уметь применять непубличные эксплоиты и уязвимости нулевого дня, которые некоторые исполнители собирают и выкупают в даркнете, и о существовании, которых заказчик узнает только заказав подобный проект
Состав команды может доходить до 4-5 топовых специалистов на протяжении всего проекта с периодическим подключением специалистов узкого профиля, глубоко погруженных в уникальные вопросы, которые могут возникнуть по ходу проекта
Особенностью такого тестирования (Red Team), кроме сложности является продолжительное время. Срок полноценного выполнения обычно от 3 месяцев и до полугода, в зависимости от целей, которые ставит заказчик
1 специалиста топ-уровня
1-2 специалистов среднего уровня
Срок подобного проекта займет 15-20 рабочих дней с учетом пары дней на составление отчета
1/3
2/3
3/3
Компания с начальным
уровнем зрелости ИБ
Сеть круглосуточной доставки цветов
Не уделяет постоянное внимание информационной безопасности. Инфраструктура полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.
Ресурсы для имитации злоумышленника
Риски для компании
Портрет злоумышленника
Компания со средним
уровнем зрелости ИБ
Производитель
сельскохозяй-
ственного
оборудования «Рога и копыта»
Уделяет отдельное внимание информационной безопасности. Часть инфраструктуры может находится на собственных серверах и частично в арендуемых. На внешнем уровне кроме стандартных сервисов могут быть также самописные. В штате есть как минимум 1-2 выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.
Проверить отсутствие публичных уязвимостей
1 младший специалист-пентестер
Риски для компании
5-7 рабочих дней
Ресурсы для имитации злоумышленника
Портрет злоумышленника
Компания с высоким
уровнем зрелости ИБ
Федеральный
ретейлер «Шестерочка»
Это крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц.

В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
Ресурсы для имитации злоумышленника
Риски для компании
Портрет злоумышленника
Для имитации действий злоумышленников такого уровня вся команда должна состоять из специалистов топ-уровня с умением обходить средства защиты и скрывать свои действия от Blue Team заказчика. Уметь применять непубличные эксплоиты и уязвимости нулевого дня, которые некоторые исполнители собирают и выкупают в даркнете, и о существовании, которых заказчик узнает только заказав подобный проект
Состав команды может доходить до 4-5 топовых специалистов на протяжении всего проекта с периодическим подключением специалистов узкого профиля, глубоко погруженных в уникальные вопросы, которые могут возникнуть по ходу проекта
Особенностью такого тестирования (Red Team), кроме сложности является продолжительное время. Срок полноценного выполнения обычно от 3 месяцев и до полугода, в зависимости от целей, которые ставит заказчик
1 специалиста топ-уровня
1-2 специалистов среднего уровня
Срок подобного проекта займет 15-20 рабочих дней с учетом пары дней на составление отчета
1/3
2/3
3/3
Соотношение ресурсов хакеров и пентестеров
Учитывая гигантский разрыв в подготовке и возможностях хакеров, например, как у Script kiddie и APT группировки, очевидно, что и имитация хакерской атаки может быть разной – смотря от чего вы хотите защититься. Выбор пентеста полностью зависит от уровня зрелости бизнеса в сфере ИБ.
Ценообразование
Итак, теперь, когда мы разобрались в моделях злоумышленников и способах имитации их деятельности, можно оценить ценообразование.
Как понять сколько должен стоить пентест по модели «школьника», который будет длиться пять рабочих дней и делаться руками джуна, а сколько должен стоить Red team, который займет три месяца и задействует группу топовых специалистов?
Давайте прольем свет на состав проектной команды и себестоимость их труда!
Script Kiddie или Хактивист
  • Junior — Опыт от 1 года
Примерная стоимость имитации и необходимые ресурсы
200-400 тыс ₽
Script Kiddie или Хактивист
Хакер
  • Middle — 2 человека
Примерная стоимость имитации и необходимые ресурсы
400-1 млн+ ₽
  • Профильные сертификаты: OSCP, OSCE, eWPTX
  • Руководитель Senior
  • Опыт от 3х лет
Хакер
АРТ группа
  • Команда Senior специалистов 3-5 человек и руководитель Lead.
Примерная стоимость имитации и необходимые ресурсы
4-12 млн+ ₽
  • Сертификаты международного уровня, такие как: OSEP, OSWE, eWPTX
  • Опыт от 5 лет
  • Присутствие в Hall of Fame крупнейших IT-компаний (например, Google, Microsoft, Apple).
  • Победы в CTF, участие в Bugbounty и нахождение 0-day в Enterprise-решениях.
APT группа
≈ 5-7 рабочих дней
≈ 15-20 рабочих дней
≈ от 3 месяцев
Из чего складывается себестоимость
Что учитывать кроме цены
Средняя зарплата специалистов находится в открытом доступе. У джуна она начинается от 70 тыс. рублей, у мидла от 150 тыс, у топовых специалистов заработок стартует от 400 тыс. рублей и часто не имеет предела ввиду уникальных компетенций на фоне кадрового дефицита на рынке. Понятно, что пентест, в ТЗ которого есть требования к топовым специалистам, по всем законам логики не может стоить 200 тыс. рублей.
Не стоит тратиться на сверхсложный дорогой Red Team, если компания только начала развивать ИБ-процессы, логичнее сделать анализ защищенности, чтобы покрыть проверкой всю сеть. Точно так же, как не стоит впустую тратить деньги на пентест по модели нарушителя «школьник», если компания регулярно проводит проверки, отлаживает механизмы защиты и ее процессы ИБ уже более зрелые.
Резюме
Существует прямая зависимость стоимости пентеста от модели злоумышленника и уровня зрелости ИБ в компаниях. И это именно те переменные, которые могут неоднозначно трактоваться, как заказчиками, так и исполнителями и существенно влиять на разброс цен. Ориентируясь в этих вводных, вы сможете реалистично оценивать любые предложения, видеть несоответствия, понимать количество наценки и компетентность исполнителей и наконец ответить себе на вопрос — почему один и тот же пентест у кого-то стоит 200 тысяч, а у кого-то 5 миллионов.
Чтобы выбирать оптимальное решение для себя, не переплатить и получить тот результат, который удовлетворит потребности бизнеса, нужно понимать, от кого вы защищаетесь. Мы сделали тест, где определяя базовые характеристики инфраструктуры, можно получить приблизительный диапазон модели злоумышленника для вашей компании.