La nicchia di mercato che per anni è stata presieduta dalle aziende di Penetration Test tradizionale si è trovata a fare i conti con il movimento della security crowdsourced. Ma come coesistono il Penetration Test tradizionale e quello crowdsourced? In cosa si differenziano i processi?
Questo articolo mette a confronto le due varianti di Penetration Test a partire da cinque fattori chiave: costi, vulnerabilità, asset, frequenza e ricompensa.
1. Costi: pagare per test o pagare per vulnerabilità trovata
Per il momento, il Penetration Test tradizionale sembra vincere su quello Crowdsourced grazie ai suoi costi più bassi. Con una retribuzione su base giornaliera, considerando che un sito web tipicamente viene esaminato in quattro-cinque giorni lavorativi, sai già in anticipo quanto spenderai a prescindere da quanti difetti e vulnerabilità verranno trovate. Al contrario, il costo del Penetration Test Crowdsourced può fluttuare perché tendenzialmente si paga una fee alla piattaforma più la singola vulnerabilità.
2. Vulnerabilità: tutte le vulnerabilità trovate sono effettivamente sfruttabili?
La sindrome del pen-tester, ovvero quella di far apparire i problemi come più gravi di quanto lo siano in realtà, è più comune nel Penetration Test tradizionale. Invece, nel Pen Test crowdsourced vengono rivelati solo difetti sfruttabili corredati da proof of concept. Questo passaggio è estremamente d'aiuto per le aziende che non devono più rincorrere rischi fantasma, ma possono invece dirigere gli sforzi collettivi dove sono effettivamente necessari.
3. Asset: gli asset interni possono essere testati efficacemente?
Nello scenario tradizionale del Penetration Test, se vuoi testare il network dall'interno, il pen tester si presenta fisicamente nel tuo ufficio, si siede e accende il PC. Può invece essere complicato in un ambiente di pen test in crowdsourcing. In alcuni casi infatti è necessaria la VPN o configurazioni proxy. Se di solito lavori in ambiente di test invece che live con utenti reali, potrebbero salire i costi con l'aumentare del numero dei tester.
4. Frequenza: Test costanti vs Test pianificati
Il Penetration Test tradizionale ha un difetto in particolare: la difficoltà di stare al passo con la velocità di sviluppo delle nuove applicazioni.
Il Pen test crowdsourced è invece open-ended, che corrisponde a come ad oggi le app vengono sviluppate e, ancora più importante, a come attaccano gli hacker. Nel penetration test tradizionale, il tester non ha la flessibilità di trascorrere 3-4 mesi a studiare uno dei tuoi asset. Dall'altra parte, i pen tester in crowdsourcing possono farlo, e questo permette di scoprire seri rischi potenziali da siti live che vengono continuamente testati.
5. Ricompensa: la ricompensa dei tester coincide con l'efficacia?
Anche se non se ne parla molto, c'è una netta differenza tra quanto e come vengono remunerati i tester nel penetration testing tradizionale e crowdsourced.
Nel penetration test tradizionale, il lavoro viene svolto da professionisti che vengono compensati e rimborsati adeguatamente sia che trovino vulnerabilità sia in caso non ne trovino. Nel caso dei tester crowdsourced dipende invece da molti fattori, tra cui la policy della piattaforma per la quale lavorano. Ad esempio, UNGUESS Security coinvolge la community di UNGUESS (il Crowd), il che significa che i tester, in questo caso gli Ethical Hacker, vengono retribuiti in modo adeguato se terminano la campagna di test. Possono poi ricevere payout più alti nel caso di bug critici, o viene ricompensato il tester che trova più vulnerabilità tra tutti quelli coinvolti.
Conclusioni
Sia il Penetration test tradizionale che quello crowdsourced hanno vantaggi e svantaggi intrinsechi. Quale fa al caso del progetto può dipendere dal budget o dalla necessità di testare per un periodo più o meno lungo. Per saperne di più, ti consiglio di visitare unguess.io.