Pen Testing as a Service (PTaaS) è un servizio cloud che fornisce ai professionisti della tecnologia informatica (IT) le risorse di cui hanno bisogno per condurre e agire in base a test puntuali e di penetrazione continui. L'obiettivo di PTaaS è aiutare le organizzazioni a creare programmi di gestione delle vulnerabilità di successo in grado di individuare, assegnare priorità e porre rimedio alle minacce alla sicurezza in modo rapido ed efficiente.
Nella sicurezza IT, è pratica comune per le aziende assumere tester affidabili e white hat per entrare e cercare in modo proattivo i vettori di attacco che potrebbero essere sfruttati. Invitare un'entità esterna a tentare di violare una rete, un server o un'applicazione può sembrare controintuitivo, ma è anche uno dei modi migliori per identificare e risolvere problemi di sicurezza difficili da individuare.
Termini da sapere: test di penetrazione; servizio cloud; gestione delle vulnerabilità; cappello bianco; vettore di attacco
Come funziona PTaaS
In passato, prima del cloud computing, i risultati del test della penna venivano forniti dopo la conclusione del periodo di prova. Sebbene le informazioni siano state utili, la natura storica dei dati spesso ha reso difficile per i team di sicurezza interni stabilire le priorità e correggere i risultati dei test.
I pen test automatizzati condotti tramite un modello di consegna SaaS (Software as a Service) possono risolvere questo problema consentendo ai clienti di visualizzare i propri dati in tempo reale in un dashboard esecutivo che visualizza tutti i dati rilevanti prima, durante e dopo l'esecuzione del test. Proprio come i tradizionali servizi di test della penna, i fornitori di PTaaS forniscono ai propri clienti anche risorse per analizzare le vulnerabilità e verificare l'efficacia di una riparazione. In genere, i fornitori di PTaaS forniscono ai propri clienti una knowledge base per assistere i team di sicurezza interni con le correzioni e, come valore aggiunto, alcuni fornitori forniscono assistenza opzionale dai tester effettivi che hanno scoperto una vulnerabilità.
PTaaS è adatto per organizzazioni di qualsiasi dimensione. La maggior parte delle piattaforme è molto flessibile e può ospitare qualsiasi cosa, da un programma di test completo a funzionalità di reporting personalizzate per i clienti i cui requisiti normativi pongono pesanti oneri di conformità.
Pen Testing as a Service non deve essere confuso con il test della penna cloud. PTaaS è una piattaforma di distribuzione, mentre il test della penna cloud cerca di identificare le lacune di sicurezza in una specifica infrastruttura cloud.
Termini da sapere: cloud computing; software come un servizio; tempo reale; dashboard esecutivo; analizzare; base di conoscenza; conformità normativa; onere di conformità
Vantaggi del Pen Testing as a Service
Uno dei maggiori vantaggi di PTaaS è il controllo che offre al cliente. Le aziende con meno esperienza nel settore della sicurezza ottengono un partner e una piattaforma che fornisce loro tutto ciò di cui hanno bisogno per creare un programma di gestione delle minacce e delle vulnerabilità di successo.
Oltre a presentare lo stato di avanzamento e lo stato di tutti gli impegni aperti, le piattaforme cloud PTaaS facilitano ai clienti la richiesta e l'ambito di nuovi impegni. Altri vantaggi includono:
Opzioni di acquisto flessibili: I servizi di pen test automatizzati, manuali e ibridi possono essere preventivati e acquistati tramite un abbonamento mensile, trimestrale o annuale o in base alle necessità.
Accesso continuo ai dati in tempo reale: Man mano che una vulnerabilità o un exploit esistente si evolve nel tempo, i dati ad esso correlati vengono aggiornati.
Opzioni di reporting flessibili: Molte piattaforme PTaaS possono aggregare e correlare i risultati di più fonti e fornire set di risultati che soddisfano le esigenze di più parti interessate.
Automazione: I flussi di lavoro automatizzati semplificano la scansione delle vulnerabilità per la rete esterna e le applicazioni Web non autenticate
Termini da conoscere: ambito del progetto; exploit di sicurezza; aggregato; stakeholder; scansione delle vulnerabilità di rete
Sfide nell'utilizzo di PTaaS
Quando l'orchestrazione delle vulnerabilità è automatizzata, i clienti possono gestire il budget e le risorse interne in modo più efficiente, il che a sua volta consente loro di eseguire più test. Tuttavia, alcune aziende non sono in grado di gestire cicli di test aggiuntivi.
I programmi di sicurezza più recenti e con fondi insufficienti a volte hanno difficoltà a correggere le vulnerabilità scoperte durante i test di penetrazione annuali, per non parlare dei test settimanali, mensili o trimestrali. Poiché i budget per la sicurezza sono limitati in molte organizzazioni, potrebbe essere difficile giustificare i costi aggiuntivi per test aggiuntivi e sforzi di riparazione.
Cosa cercare in un fornitore PTaaS
Ci sono alcuni elementi fondamentali che i potenziali clienti dovrebbero considerare quando valutano i servizi di penetration test automatizzati, manuali o ibridi, inclusa la reputazione e la storia del fornitore.
Oltre a fornire una solida libreria per le istruzioni di riparazione, altre caratteristiche degne di nota del prodotto includono:
- La capacità di aggregare e correlare i dati da più fonti.
- La possibilità per più tester di lavorare simultaneamente sullo stesso progetto e combinare i risultati in un unico spazio di lavoro per la creazione di report.
- La capacità di normalizzare la fiducia e la gravità tra gli scanner per migliorare i risultati e ridurre i falsi positivi.
- La capacità di generare report in più formati di file.
- La possibilità di personalizzare i modelli di report per tipi specifici di test.
- La capacità di tenere traccia delle tendenze nel tempo e monitorare il tempo di completamento della riparazione.
- La capacità di integrare il reporting con i sistemi aziendali di ticketing e governance, rischio e conformità (GRC).
Termini da sapere: gestione della reputazione; biblioteca; formato del file; modello
Il panorama dei fornitori di PTaaS
I fornitori importanti nello spazio PTaaS attualmente includono:
NetSPI - Secondo il loro sito web, NetSPI è una delle principali società di test di penetrazione e fornitore di soluzioni di sicurezza informatica di fiducia di 7 delle prime 10 banche statunitensi.
Cobalt.io - Secondo il loro profilo LinkedIn, Cobalt.io è una piattaforma Pentest as a Service e un motore di gestione delle vulnerabilità su richiesta.
Breachlock - Secondo il loro sito Web, la piattaforma cloud di BreachLock consente ai clienti di eseguire scansioni automatiche e richiedere test e test manuali con un clic.
Synack - Secondo il loro sito web, Synack raccoglie in crowdsourcing la loro piattaforma di test di sicurezza.
Praetorian - Secondo il loro sito Web, Praetorian aiuta i propri clienti a trovare, riparare, bloccare e risolvere i problemi di sicurezza informatica in un'azienda o in un portafoglio di prodotti.