Ценообразование пентеста
Почему одно и то же техзадание исполнители оценивают
то в 200 тысяч, то в 5 миллионов?
то в 200 тысяч, то в 5 миллионов?
Каждой компании —
свой уровень злоумышленника
свой уровень злоумышленника
Стоимость тестирования компании напрямую зависит от зрелости процессов информационной безопасности внутри нее. Это связано с моделью злоумышленника, от которого бизнес хочет защититься. А модель злоумышленника влияет на сложность имитации атаки и проводимых работ на проекте.
Мы можем сравнить на примерах, как меняется модель злоумышленника в зависимости
от зрелости ИБ и как от этого растут ресурсы
для тестирования.
от зрелости ИБ и как от этого растут ресурсы
для тестирования.
Компания с начальным
уровнем зрелости ИБ
уровнем зрелости ИБ
Сеть круглосуточной доставки цветов
Не уделяет постоянное внимание информационной безопасности. Инфраструктура полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.
Ресурсы для имитации злоумышленника
Компания со средним
уровнем зрелости ИБ
уровнем зрелости ИБ
Производитель
сельскохозяйственного
оборудования «Рога и копыта»
сельскохозяйственного
оборудования «Рога и копыта»
Уделяет отдельное внимание информационной безопасности. Часть инфраструктуры может находится на собственных серверах и частично в арендуемых. На внешнем уровне кроме стандартных сервисов могут быть также самописные. В штате есть как минимум 1-2 выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.
Проверить отсутствие публичных уязвимостей
1 младший специалист-пентестер
5-7 рабочих дней
Ресурсы для имитации злоумышленника
Компания с высоким
уровнем зрелости ИБ
уровнем зрелости ИБ
Федеральный
ретейлер «Шестерочка»
ретейлер «Шестерочка»
Это крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц.
В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
Ресурсы для имитации злоумышленника
Для имитации действий злоумышленников такого уровня вся команда должна состоять из специалистов топ-уровня с умением обходить средства защиты и скрывать свои действия от Blue Team заказчика. Уметь применять непубличные эксплоиты и уязвимости нулевого дня, которые некоторые исполнители собирают и выкупают в даркнете, и о существовании, которых заказчик узнает только заказав подобный проект
Состав команды может доходить до 4-5 топовых специалистов на протяжении всего проекта с периодическим подключением специалистов узкого профиля, глубоко погруженных в уникальные вопросы, которые могут возникнуть по ходу проекта
Особенностью такого тестирования (Red Team), кроме сложности является продолжительное время. Срок полноценного выполнения обычно от 3 месяцев и до полугода, в зависимости от целей, которые ставит заказчик
1 специалиста топ-уровня
1-2 специалистов среднего уровня
Срок подобного проекта займет 15-20 рабочих дней с учетом пары дней на составление отчета
1/3
2/3
3/3
Компания с начальным
уровнем зрелости ИБ
уровнем зрелости ИБ
Сеть круглосуточной доставки цветов
Не уделяет постоянное внимание информационной безопасности. Инфраструктура полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.
Ресурсы для имитации злоумышленника
Риски для компании
Портрет злоумышленника
Компания со средним
уровнем зрелости ИБ
уровнем зрелости ИБ
Производитель
сельскохозяй-
ственного
оборудования «Рога и копыта»
сельскохозяй-
ственного
оборудования «Рога и копыта»
Уделяет отдельное внимание информационной безопасности. Часть инфраструктуры может находится на собственных серверах и частично в арендуемых. На внешнем уровне кроме стандартных сервисов могут быть также самописные. В штате есть как минимум 1-2 выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.
Проверить отсутствие публичных уязвимостей
1 младший специалист-пентестер
Риски для компании
5-7 рабочих дней
Ресурсы для имитации злоумышленника
Портрет злоумышленника
Компания с высоким
уровнем зрелости ИБ
уровнем зрелости ИБ
Федеральный
ретейлер «Шестерочка»
ретейлер «Шестерочка»
Это крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц.
В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
В штате есть выделенные отделы или департаменты ИБ, которые в непрерывном режиме улучшают информационную безопасность, внедряя современные средства защиты, обучая персонал, развивая свой собственный SOC или подключая коммерческий, применяя принципы безопасной разработки во внутренних продуктах.
Ресурсы для имитации злоумышленника
Риски для компании
Портрет злоумышленника
Для имитации действий злоумышленников такого уровня вся команда должна состоять из специалистов топ-уровня с умением обходить средства защиты и скрывать свои действия от Blue Team заказчика. Уметь применять непубличные эксплоиты и уязвимости нулевого дня, которые некоторые исполнители собирают и выкупают в даркнете, и о существовании, которых заказчик узнает только заказав подобный проект
Состав команды может доходить до 4-5 топовых специалистов на протяжении всего проекта с периодическим подключением специалистов узкого профиля, глубоко погруженных в уникальные вопросы, которые могут возникнуть по ходу проекта
Особенностью такого тестирования (Red Team), кроме сложности является продолжительное время. Срок полноценного выполнения обычно от 3 месяцев и до полугода, в зависимости от целей, которые ставит заказчик
1 специалиста топ-уровня
1-2 специалистов среднего уровня
Срок подобного проекта займет 15-20 рабочих дней с учетом пары дней на составление отчета
1/3
2/3
3/3
Риски для компании:
- Компрометация корпоративных сайтов;
- Получение доступа во внутреннюю сеть;
- Заражение рабочих станций вредоносным ПО и шифрование базы 1С.
Риски для компании:
- Компрометация корпоративных сайтов;
- Получение доступа во внутреннюю сеть;
- Блокировка основных бизнес- и производственных процессов;
- Потеря конфиденциальных данных и клиентских баз данных.
Риски для компании:
- Шифрование и блокировка всех процессов внутри компании без возможности восстановления;
- Утечки баз данных сотен тысяч и миллионов персональных данных клиентов физ-лиц;
- Непоправимые репутационные потери;
- Компрометация других компаний в чью цепочку поставки они интегрированы и т.п.
Портрет злоумышленника:
Большой риск попасть под автоматизированную атаку — злоумышленники просто сканируют сеть на наличие известных уязвимостей. А обнаружив «дыру в безопасности», эксплуатируют ее.
Сервисы может атаковать любой человек, который использует доступные инструменты взлома: статьи на форумах или видео на Ютубе.
Моделью злоумышленника здесь будет «школьники»
или «Script kiddie» — те, кто пользуется готовыми скриптами и программами, для атаки компьютерных систем и сетей, не понимая механизма их действия. Они слишком неопытные, чтобы самим написать эксплойт или сложную программу для взлома.
Сервисы может атаковать любой человек, который использует доступные инструменты взлома: статьи на форумах или видео на Ютубе.
Моделью злоумышленника здесь будет «школьники»
или «Script kiddie» — те, кто пользуется готовыми скриптами и программами, для атаки компьютерных систем и сетей, не понимая механизма их действия. Они слишком неопытные, чтобы самим написать эксплойт или сложную программу для взлома.
Портрет злоумышленника:
Злоумышленнику придется применять более продвинутые техники и методы взлома для атаки этой компании. Использовать технические или логические уязвимости. Когда говорят про украинских, индийских или китайских хакеров, то это наиболее точное описание данного уровня злоумышленника.
Они могут выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. Изучать реакцию системы и менять вектор атаки в зависимости от ответа. Они существенно автоматизируют эксплуатацию публичных уязвимостей различной степени сложности. Как правило делают это для шантажа и вымогательства.
Они могут выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. Изучать реакцию системы и менять вектор атаки в зависимости от ответа. Они существенно автоматизируют эксплуатацию публичных уязвимостей различной степени сложности. Как правило делают это для шантажа и вымогательства.
Портрет злоумышленника:
В случае целенаправленных (в том числе и выполняемых на заказ) атак — к взлому подключаются настоящие профессионалы и APT группировки, спецслужбы недружественных стран и группировки, связанные с ними.
Соотношение ресурсов хакеров и пентестеров
Учитывая гигантский разрыв в подготовке и возможностях хакеров, например, как у Script kiddie и APT группировки, очевидно, что и имитация хакерской атаки может быть разной – смотря от чего вы хотите защититься. Выбор пентеста полностью зависит от уровня зрелости бизнеса в сфере ИБ.
Ценообразование
Итак, теперь, когда мы разобрались в моделях злоумышленников и способах имитации их деятельности, можно оценить ценообразование.
Как понять сколько должен стоить пентест по модели «школьника», который будет длиться пять рабочих дней и делаться руками джуна, а сколько должен стоить Red team, который займет три месяца и задействует группу топовых специалистов?
Давайте прольем свет на состав проектной команды и себестоимость их труда!
Script Kiddie или Хактивист
- Junior — Опыт от 1 года
Примерная стоимость имитации и необходимые ресурсы
200-400 тыс ₽
Script Kiddie или Хактивист
Хакер
- Middle — 2 человека
Примерная стоимость имитации и необходимые ресурсы
400-1 млн+ ₽
- Профильные сертификаты: OSCP, OSCE, eWPTX
- Руководитель Senior
- Опыт от 3х лет
Хакер
АРТ группа
- Команда Senior специалистов 3-5 человек и руководитель Lead.
Примерная стоимость имитации и необходимые ресурсы
4-12 млн+ ₽
- Сертификаты международного уровня, такие как: OSEP, OSWE, eWPTX
- Опыт от 5 лет
- Присутствие в Hall of Fame крупнейших IT-компаний (например, Google, Microsoft, Apple).
- Победы в CTF, участие в Bugbounty и нахождение 0-day в Enterprise-решениях.
APT группа
≈ 5-7 рабочих дней
≈ 15-20 рабочих дней
≈ от 3 месяцев
Из чего складывается себестоимость
Что учитывать кроме цены
Средняя зарплата специалистов находится в открытом доступе. У джуна она начинается от 70 тыс. рублей, у мидла от 150 тыс, у топовых специалистов заработок стартует от 400 тыс. рублей и часто не имеет предела ввиду уникальных компетенций на фоне кадрового дефицита на рынке. Понятно, что пентест, в ТЗ которого есть требования к топовым специалистам, по всем законам логики не может стоить 200 тыс. рублей.
Себестоимость проекта складывается из:
- Cостава команды;
- Количества рабочих дней заложенных на проект;
- Модели тестирования: black/gray/white box;
- Скоупа тестирования: опубликованные сервисы, Wi-Fi и т.д.;
- И прочих переменных.
Для разных объектов тестирования разный подход к командам и калькуляция.
Поэтому, нет низкой или высокой цены пентеста, есть только потребность бизнеса в проверке определенного уровня. Определив уровень сложности, можно рассчитать справедливую стоимость тестирования.
Кроме цены нужно учитывать:
- Потребности бизнеса в проверке определенного уровня;
- Объем работ, который нужно выполнить для достижения цели проекта;
- Уровень специалистов их опыт и общепринятые заслуги: сертификаты OSCP, OSCE, eWPTX; участие в Bug Bounty программах, залах славы, исследованиях и тд.;
- Модель злоумышленника;
- Модель тестирования: black/gray/white box;
- Скоуп тестирования: опубликованные сервисы, Wi-Fi и т.д.
Не стоит тратиться на сверхсложный дорогой Red Team, если компания только начала развивать ИБ-процессы, логичнее сделать анализ защищенности, чтобы покрыть проверкой всю сеть. Точно так же, как не стоит впустую тратить деньги на пентест по модели нарушителя «школьник», если компания регулярно проводит проверки, отлаживает механизмы защиты и ее процессы ИБ уже более зрелые.
Резюме
Существует прямая зависимость стоимости пентеста от модели злоумышленника и уровня зрелости ИБ в компаниях. И это именно те переменные, которые могут неоднозначно трактоваться, как заказчиками, так и исполнителями и существенно влиять на разброс цен. Ориентируясь в этих вводных, вы сможете реалистично оценивать любые предложения, видеть несоответствия, понимать количество наценки и компетентность исполнителей и наконец ответить себе на вопрос — почему один и тот же пентест у кого-то стоит 200 тысяч, а у кого-то 5 миллионов.
Чтобы выбирать оптимальное решение для себя, не переплатить и получить тот результат, который удовлетворит потребности бизнеса, нужно понимать, от кого вы защищаетесь. Мы сделали тест, где определяя базовые характеристики инфраструктуры, можно получить приблизительный диапазон модели злоумышленника для вашей компании.
