Penteratsion test xizmatlarini yetkazib beruvchi sifatida mijozlarimizga maksimal qiymat taqdim etishni xohlaymiz. Hisobotlar ushbu qiymatni yetkazib berish mexanizmi bo‘lib, mijozga keyingi harakatlarini amalga oshirish imkonini beruvchi asosiy hujjat hisoblanadi. Veb-ilovada yigirma ta zaiflikni aniqlash qanchalik muhim bo‘lmasin, agar biz ushbu zaifliklarni va ularni bartaraf etish bo‘yicha tavsiyalarimizni aniq taqdim eta olmasak, bu biznesga real ta’sir ko‘rsatmaydi. Agar mijoz oldinga yo‘lni aniq ko‘rmasa, u o‘z vaqtini va mablag‘ini to‘liq qiymatga ega bo‘lish uchun sarflamaydi.

Mijoz uchun to‘g‘ri hisobot tayyorlash uchun biz quyidagi ikkita asosiy jihatni tushunishimiz kerak:

1. Hisobotning maqsadi.
2. Yig‘ilgan ma’lumotlarni auditoriya tushuna oladigan shaklda yetkazish.

Mijoz penteratsion test xizmatini to‘laganida, u shunchaki axloqiy xakerga o‘z infratuzilmasiga qonuniy ravishda hujum qilish va zaifliklarni aniqlash uchun pul to‘layapman deb tushunishi mumkin. Garchi bu texnik jihatdan talab etiladigan bo‘lsa ham, bu sinovning fundamental maqsadi emas. Hatto ayrim hollarda mijozlar umuman infratuzilmalariga hujum qilinmasligini afzal ko‘rishlari ham mumkin!

Xo‘sh, kompaniya nima sababdan penteratsion test xizmatini olmoqchi bo‘ladi? Asosiy maqsad – mijozga tizimlarida mavjud bo‘lgan barcha zaifliklarni ta’kidlovchi, ularni darhol tuzatish yo‘llarini va kelajakda bunday zaifliklarning oldini olish bo‘yicha strategik maqsadlarni bayon qiluvchi aniq yo‘lni taqdim etishdir. Ushbu natija odatda penteratsion test hisobotida taqdim etiladi. Mijoz nuqtai nazaridan, bu hisobot – sinov natijalarining yagona haqiqiy mahsuloti hisoblanadi.

Agar biz tekshiruv jarayonida hech qanday zaiflik topa olmasak, hisobotda bu qismni qanday yoritishimiz kerakligi haqida o‘ylab ko‘rishimiz mumkin. Bunday hollarda ortiqcha texnik tafsilotlarni kiritishdan qochish tavsiya etiladi. Odatda, “hech qanday zaiflik topilmadi” degan oddiy bayonot yetarli bo‘ladi. Agar mijoz bizning sinov harakatlarimizning barcha texnik tafsilotlari bilan ortiqcha to‘ldirilgan hisobotni olsa, u aniqlangan muammolar ahamiyatini anglashda qiynalishi mumkin. Testerning vazifasi – topilgan zaifliklarni mijoz oson tushunadigan va ularga qarshi chora ko‘rishi mumkin bo‘lgan tarzda taqdim etishdir. Shuni ham yodda tutish kerakki, ba’zi mijozlar hattoki aniqlanmagan muammolar haqida ham batafsil texnik hisobotlarni afzal ko‘rishlari mumkin. Bu esa yana bir muhim omil – auditoriyani tushunish masalasiga olib keladi.

Hisobotni qabul qiladigan mijoz o‘z sohasi bo‘yicha mutaxassis hisoblanadi. U odatda (lekin doim ham emas) o‘z sohasi bilan bog‘liq xavfsizlik muammolaridan xabardor bo‘ladi va biz ham bu masalalarni oldindan o‘rganib chiqqanimizni kutadi. Amaliyotda bu – mijoz uchun hujum natijasida muammo tug‘dirishi mumkin bo‘lgan jihatlarni chuqur tushunishni anglatadi. Ya’ni, mijozning asosiy biznes maqsadlari va vazifalarini tushunishimiz lozim. Shu sababli hujum qoidalari (Rules of Engagement) bo‘yicha aniq kelishib olish juda muhim, chunki bu bizga mijozning asosiy xavotirlari haqida ma’lumot beradi.

Sinov jarayonida aniqlangan barcha muammolar hisobotga kiritilishi kerak, lekin mijozning asosiy xavotirlari bilan bog‘liq bo‘lgan zaifliklar alohida ta’kidlanishi lozim. Mijoz uchun muhim bo‘lishi mumkin bo‘lgan asosiy xavfsizlik jihatlariga misollar:

• HIPAA – AQShda tibbiy ma’lumotlarni himoya qilish qoidalari.
• PCI – kredit kartalar va to‘lov tizimlarini boshqaruvchi xavfsizlik standarti.

Quyidagi misolni ko‘rib chiqamiz.

Mijoz A – kasalxona, Mijoz B – bank. Biz har ikkala mijozning ichki infratuzilmasini tekshirish uchun yollanganmiz. Sinov natijalarida o‘xshash zaifliklar topilgan bo‘lsa ham, ularning texnik jiddiyligi bir xil bo‘lishi mumkin, lekin hisobotda ularning xavf darajasi va muammoni bartaraf etish ustuvorligi bir xil bo‘lmasligi mumkin.

• Mijoz A (kasalxona)

  Kasalxona infratuzilmasiga tibbiy qurilmalar ulangan. Shifokorlar va bemorlar monitoring tizimi ogohlantirishlariga tezda javob berishlari kerak, shu bois tarmoq ishlash barqarorligi va qurilmalar tayyorligi katta ahamiyatga ega. Ushbu tarmoqdagi qurilmalar eskirgan dasturiy ta’minot versiyalarida ishlayotgan bo‘lishi mumkin. Agar zaifliklar aniqlansa, ularni ta’kidlash va agar darhol yangilash yoki yamoq o‘rnatish imkoni bo‘lmasa, ularni alohida tarmoq segmentiga ajratishni tavsiya qilish kerak.

• Mijoz B (bank)

  Bank infratuzilmasida xuddi shu zaiflik yanada katta xavf tug‘dirishi mumkin. Chunki bank tarmog‘ida tizimlar bir-biri bilan o‘zaro aloqa qiladi va to‘liq segmentatsiya imkoni bo‘lmasligi mumkin. Shu sababli, yangilanishi yo‘q bo‘lgan server yoki qurilma katta tahdid tug‘diradi va bu muammo tanqidiy muammo sifatida qayd etilishi kerak.

Hisobotni tayyorlashda zaiflik qanday sharoitda ekspluatatsiya qilinishi va uning mumkin bo‘lgan ta’sirini hisobga olish muhimdir. Masalan:

• Internetda ochiq matnli HTTP login – juda xavfli.
• Ichki tarmoqda ochiq matnli HTTP login – hali ham xavfli, ammo undan foydalanish uchun qo‘shimcha qadamlar kerak bo‘ladi.
• Kasalxona uchun internetga ochiq TLS 1.0 cipher qo‘llanilishi unchalik katta muammo bo‘lmasligi mumkin.
• Lekin e-tijorat sayti uchun bu PCI standartlariga zid bo‘lgani uchun katta xavf tug‘diradi.