Chi phí trung bình cho dịch vụ pentest là bao nhiêu.

Chi phí trung bình cho dịch vụ pentest là bao nhiêu?

August 29, 2019 | vietsunshine

Rất khó để tìm ra chi phí trung bình của dịch vụ pentest (kiểm thử thâm nhập), đặc biệt là khi xem xét đến các phạm vi của dịch vụ cũng như các cam kết đi kèm. Hầu hết các dịch vụ kiểm thử thâm nhập có mức giá từ $5K- $150K tùy thuộc vào mục đích, phạm vi, loại thử nghiệm và loại mối đe dọa mà bạn muốn bảo vệ doanh nghiệp của mình.

Trong một pentest, sẽ nhanh hơn rất nhiều để kiểm tra hai so với  hai trăm lỗ hổng. Trình độ, kinh nghiệm của pentest team cũng sẽ ảnh hưởng rất nhiều tới giá cả của dịch vụ. Khi đầu tư vào kiểm thử thâm nhập, điều quan trọng là ban phải hiểu các yêu cầu và các mục tiêu bạn đang muốn đạt được với chúng.

Khi thuê dịch vụ pentest là bạn đang đầu tư vào cái gì?

Điều quan trọng là phải hiểu lý do tại sao bạn cần đầu tư vào kiểm thử thâm nhập. Vi phạm dữ liệu sẽ gây tổn thất rất lớn. Theo một nghiên cứu, chi phí trung bình toàn do vi phạm dữ liệu cho năm 2019 là 3,92 triệu đô la. Những tổn thất này chưa bao gồm tiền phạt và thiệt hại do mất niềm tin của khách hàng.

Ngoài ra, có thể khách hàng của bạn sẽ yêu cầu bạn thuê dịch vụ pentest. Trong trường hợp này, hầu hết các doanh nghiệp chọn cách để giảm thiểu đầu tư của họ bằng cách tìm kiếm nhà cung cấp rẻ nhất. Đây không phải là cách tiếp cận tốt vì nó mang lại ít hiệu quả nhất. Bạn nên được đầu tư để đảm bảo doanh nghiệp của bạn được bảo vệ vì chi phí của một pentest chất lượng thấp sẽ cao hơn rất nhiều nếu bạn bị vi phạm.

Phạm vi của pentest của bạn là gì?

PCI yêu cầu kiểm tra thâm nhập môi trường dữ liệu chủ thẻ (CDE) để xác thực tính bảo mật trong môi trường của bạn. Ngoài việc tuân thủ, thường rất khó để chọn những gì trong phạm vi so với những gì được đưa ra ngoài. Việc loại trừ các thiết bị cũ là rất hấp dẫn bởi vì bạn không thể vá chúng – đây là một ý tưởng tồi tệ. Những kẻ tấn công thực sự không loại trừ các thiết bị khỏi phạm vi, chúng đi theo con đường ít kháng cự nhất. Nếu bạn chưa vá hệ thống cũ đó và nó đã lộ diện trên mạng của bạn, bạn nên hiểu tác động của nó đối với an ninh của doanh nghiệp.

Có thể có một cơ hội để kiểm tra một mẫu hệ thống nếu tất cả chúng đều giống hệt nhau. Ví dụ: nếu tổ chức của bạn sử dụng các container, chẳng hạn như Kubernetes của Google, hoặc bất kỳ hệ thống khuôn mẫu nào khác. Có thể không có giá trị trong việc kiểm tra từng trường hợp riêng lẻ, điều này có thể dẫn đến tiết kiệm chi phí. Điều này cũng có thể áp dụng cho các điểm cuối của người dùng, nhưng là không đúng nếu người dùng của bạn có đặt quyền quản trị trong hệ thống của họ.

Làm thế nào để bạn biết ứng dụng nào yêu cầu thử nghiệm? Các ứng dụng tùy chỉnh phải là ưu tiên cao nhất. Các ứng dụng được phân chia giữa ba nhóm, phần mềm thương mại (commercial off the shelf – COTS), các ứng dụng web tùy chỉnh và một nơi nào đó ở giữa. Ví dụ: một ứng dụng web có thể sử dụng nền tảng xuất bản thương mại như SAP Hybris, Adobe CQ5, Oracle ATG, Umbraco, WordPress và nhiều hơn nữa trong khi sử dụng mã tùy chỉnh.

Điều gì tác động đến chi phí của dịch vụ pentest?

Biết những gì cần được kiểm tra, điều quan trọng là phải hiểu tác động của phạm vi đến chi phí của dịch vụ kiểm thử thâm nhập. Các số liệu chính ảnh hưởng đến chi phí của một pentest là, có bao nhiêu tài sản đang được thử nghiệm, được đo bằng IP, có bao nhiêu ứng dụng web yêu cầu thử nghiệm và có bao nhiêu vai trò (role) trong các ứng dụng của bạn. Mặc dù nghe có vẻ phản trực giác, nhưng càng có nhiều tài sản được đưa vào phạm vi, việc đánh giá sẽ càng hiệu quả về mặt chi phí. Phạm vi càng hạn chế, giá trị càng ít và chi phí cho mỗi tài sản thử nghiệm càng nhiều.

Đối với thử nghiệm thâm nhập cơ sở hạ tầng, điều quan trọng là phải hiểu mức độ kỹ lưỡng của từng hệ thống của bạn. Nếu phạm vi của bạn là 1000 IP và nhà cung cấp đang đề xuất 200 IP mỗi ngày, có thể không có đủ thời gian để hoàn thành thử nghiệm có thể dẫn đến kết quả bị bỏ lỡ. Một tốc độ lý tưởng là 20-50 IP / ngày tùy thuộc vào loại hệ thống được thử nghiệm.

Kích thước của các ứng dụng web được đo bằng số trang và số lượng vai trò (role). Đây là những số liệu khá đơn giản và có những yếu tố khác giúp tinh chỉnh các ước tính nhưng đó là một điểm khởi đầu tuyệt vời. Số trang giúp phác thảo sự khác biệt giữa một trang web tài liệu và Facebook.com. Cách chính xác nhất để ước tính các yêu cầu nỗ lực cho một ứng dụng web nhất định là bạn phải hiểu về nó. Thông qua ứng dụng của bạn thường được cung cấp bởi dịch vụ khách hàng hoặc bán hàng để minh họa chức năng trong ứng dụng của bạn và cách khách hàng hoặc nhân viên của bạn sử dụng nó.

Kinh nghiệm và trình độ ảnh hưởng như thế nào đến chi phí của dịch vụ pentest?

Một yếu tố rất quan trọng trong việc định giá là trình độ của team pentest thực hiện kiểm tra. Yếu tố này rất quan trọng bởi vì nó sẽ giúp bạn nhận được nhiều giá trị nhất từ đánh giá. Điều quan trọng là phải trả tiền cho thử nghiệm thích hợp chứ không chỉ đơn giản là trả tiền cho tên của công ty thực hiện thử nghiệm.

Trên hết, có nhiều mối đe dọa khác nhau mà bạn có thể đang tìm cách mô phỏng trong quá trình đánh giá của mình. Từ những kẻ tấn công thông thường cho đến APT, có rất nhiều bộ kỹ năng được sử dụng để đánh giá trong quá trình pentest. Các mối đe dọa lý tưởng để chuẩn bị là những mối đe dọa mà bạn có nhiều khả năng gặp phải, đòi hỏi một số mức độ tinh vi từ nhóm bạn chọn làm việc cùng. Nếu bạn làm việc với một nhóm thiếu kinh nghiệm, có thể những phát hiện và giải quyết của họ chỉ đến từ các công cụ tự động.

Tổng kết

Tóm lại, có rất nhiều biến số ảnh hưởng đến giá của thử nghiệm thâm nhập và trong khi ngành công nghiệp muốn thương mại hóa quy trình này, có những yếu tố quan trọng phải được xem xét để hiểu bạn đang đầu tư vào cái gì. Giá cả của dịch vụ là vấn đề cần lưu tâm, nhưng điều quan trọng là làm việc với một nhóm có trình độ có thể giúp điều hướng từng yêu cầu của bạn và đưa ra giải pháp hiệu quả nhất.

Nguồn: What is the average cost of a pentest?

Xem thêm:

Tags: , , ,