¿Es práctico y vale la pena alternar proveedores de pruebas de penetración?

Muchas personas (¿quizás la mayoría?) consideran a los proveedores rotativos como una mejor práctica.

El beneficio más valioso que normalmente escucho es que le permite comparar la calidad y el valor.

También creo que hay espacio para que seas creativo; por ejemplo, contratar a una empresa especializada en pruebas de penetración de aplicaciones para una ronda seguida por una especializada en ingeniería social, o solicitar múltiples proveedores por ronda, o alguna combinación de ellas.

En todos los casos, prestar atención a los nombres y los respectivos conjuntos de habilidades de las personas que realizan el trabajo real es clave para garantizar que obtiene lo que espera (es decir, desea evitar las tácticas de cambio y cebo y desea realizar un seguimiento de las personas que entregan alta calidad).

La respuesta de @ Tate es buena en beneficio de la rotación, pero señalaré otro punto importante:

La desventaja de rotar es que pierde mucho del contexto y el conocimiento que su proveedor ya ha desarrollado. Tanto el conocimiento del contexto de su negocio, los requisitos, las reglas personalizadas, cómo funciona la aplicación, etc., como la familiaridad histórica con los problemas que ha tenido en el pasado. Si giras, tienes que empezar de nuevo.

Por supuesto, si solo tienes el tipo de pentester externo, entra de vez en cuando para hacer un escaneo a ciegas, bueno, de todos modos no han acumulado mucho conocimiento sobre ti ... pero entonces, ¿por qué molestarse con ellos? ? Estaría mejor con un "socio": alguien que aprenda su negocio, trabaje de acuerdo con eso y pueda identificar tendencias, causas fundamentales y errores repetidos que ocurrieron antes, y trabaje con usted para solucionarlo. Pero eso es difícil de construir si giras cada 6 meses ...

Supongo que es una compensación, una verificación (y una originalidad) contra un trabajo mejor y más eficiente (pero tendrías que confiar).

Voy a presentar algunos argumentos completamente diferentes que van directamente contra PCI DSS y CIP CVA.

Mi primer argumento es que es estúpido contratar a probadores de penetración externos. La prueba de penetración debe ser un día de "búsqueda de errores" que se produce durante la infraestructura o demostraciones de iteración (es decir, mientras se está en control de calidad / preparación). Todos, incluidos todos los consultores / contratistas / QA-people / devs / managers / etc, deben ser invitados y autorizados a participar. Deben trabajar juntos en equipos (generalmente en parejas) y los equipos deben tener diferentes mentes (por ejemplo, entrenados y no entrenados).

Mi segundo argumento es que es estúpido trabajar con una compañía asociada "de vez en cuando". Si va a esforzarse por obtener un asesor de confianza, está perdiendo tanto su tiempo como el suyo si solo los contrata una vez al año, o cuando las regulaciones lo exijan. Es importante estar en contacto constante con las personas con las que creas confianza.

Contrate a una empresa consultora de appsec y trátelos como empleados, incluso si no están en un escritorio todos los días de la semana laboral. Entra en el compromiso sabiendo que van a pasar 3 años antes de que muestres el progreso, pero establece metas / objetivos y métricas.

Según la experiencia, diría que la rotación funciona mejor a escala global de la empresa, donde puede tener de 3 a 6 organizaciones de proveedores en un panel trabajando continuamente para usted, de modo que todos desarrollen un conocimiento del entorno a largo plazo, y usted puede rotarlos a través de un rango de áreas, por ejemplo, interno, externo, de terceros, etc., pero el valor real solo se obtiene si puede construir los metadatos alrededor de las pruebas para poder normalizar y rastrear tendencias:

• El Proveedor x siempre califica un problema particular como Menor, pero el Proveedor lo califica como Significativo.
• Tester a proporciona más información sobre los resultados de las pruebas de aplicaciones que el tester b.
• El proveedor z era menos hábil pero mejoraba más rápido que los demás.

Sin rotación, la comparación cruzada de habilidades y la capacidad de renegociar el precio pueden ser difíciles de administrar, pero tenga en cuenta que necesita un presupuesto por tiempo para que los nuevos proveedores estén al tanto de sus métodos de trabajo, expectativas de entrega, informes estilos, umbrales, etc.