Vad kostar ett penetrationstest?
Innehåll
Det kan vara svårt att skapa en genomsnittlig kostnad för penetrationstest när det inte finns något sådant som en genomsnittlig IT-miljö.
Storleken på en organisation fungerar inte som en vägledning eftersom storlek inte relaterar till värdet eller ens mängden data inom IT-miljön. Till exempel har flertalet börsnoterade industribolag en IT-miljö som motsvarar en liten advokatbyrå – och den advokatbyrån kan innehålla mycket mer känsliga, reglerade och värdefulla data.
Generellt sett kommer kostnaden för ett penetrationstest att vara direkt proportionell mot antalet timmar som måste spenderas på att förbereda, utföra och dokumentera testet. Men för att beräkna dessa timmar måste varje penetrationstestare och organisation ta hänsyn till de faktorer som påverkar dessa timmar och de priser som tillämpas på dessa timmar:
Omfattning
Organisationens storlek och antalet system som omfattas av testningen kommer vara en huvudsaklig avgörande faktor för kostnaderna. Även om andra faktorer kan justera priset per system eller priset per timme, ger omfattningen och skalan multiplikatorn som i allmänhet bestämmer största delen av de slutliga avgifterna.
Trots ökningen av antalet penetrationstestverktyg som kan automatisera vissa uppgifter för penetrationstestaren bör alla sårbarheter som upptäcks av automatiserade verktyg slutligen testas av en penetrationstestare. Även när ett automatiserat verktyg inte upptäcker några sårbarheter kan en hackare med specialkunskaper använda sin erfarenhet för att utnyttja systemet, nätverket, etc.
Typ av Penetrationstest
Typen av Penetrationstest kommer påverka antalet timmar som krävs för testningen och kan medföra extra kostnader. Organisationer bör vara bekanta med testtyperna för att förstå hur det kan påverka offerten.
- Black Box-tester simulerar hackare som inte känner till nätverket och inte har någon åtkomst.
- Gray Box-tester simulerar hackare som har viss kunskap och åtkomst genom social manipulation, komprometterade referenser, etc.
- White Box-tester ger penetrationstestaren full åtkomst och kräver att de kontrollerar alla system.
Testarens Erfarenhet
Erfarenheten hos testaren kommer ibland avspegla sig i timpriset. Mer erfarna testare tenderar att vara dyrare, men paradoxalt nog kan valet av den dyrare optionen också spara pengar. Mindre erfarna testare kan kosta mindre per timme men kan spendera fler timmar på att konfigurera verktyg eller försöka med ineffektiva attacker som en mer erfaren testare skulle kunna undvika.
Efterlevnadskrav
Vissa regelverk kan kräva specifika tester av specifika system, användning av specifika tekniker eller certifierade leverantörer. Till exempel började Payment Card Industry Data Security Standard (PCI DSS) kräva att organisationer som accepterar betalkort använder PCI Security Council Approved Scanning Vendors för att genomföra obligatoriska penetrationstester från tredje part.
System typ
Vad penetrationstestet behöver utforska spelar roll. Att testa en webbplats med inbäddade appar, anslutna databaser och tillhörande infrastruktur kan vara mycket annorlunda än att testa en hybridmiljö av trådlösa nätverk, lokala datacenter, molndatacenter och SD-WAN-anslutna användare.
Återtestning
Efter att en penetreringstestare har upptäckt och verifierat en sårbarhet måste organisationen åtgärda problemet. I många fall vill organisationer att deras nuvarande IT-leverantörer åtgärdar problem och använda penetrationstestaren för att testa åtgärden.
Särskilda Krav
En organisation kan alltid öka kostnaderna med särskilda begäranden och ovanliga krav. Till exempel kan testning utanför ordinarie arbetstider, krav på plats, tester av fysisk säkerhet, observation av processer och social manipulation påverka de totala kostnaderna avsevärt för ett penetreringstest.
Sammanfattningsvis Det finns många faktorer som kan påverka kostnaden av ett penetrationstest, men för en erfaren penetrationstestare så kan han vid ett enkelt 30 min scoping möte svarare väldigt precist om vad kostnaden skulle bli. Kontakta oss för att få veta mer.