Jak określić zakres i głębokość testów penetracyjnych aplikacji?

Avatar photo
Bartłomiej Adamski

Lead pentester w CyberClue

Czas trwania testów penetracyjnych aplikacji 5, 10, 20, a nawet 40 dni, może zaskakiwać. Skąd takie różnice?

Na zakres testów bezpieczeństwa aplikacji wpływa m.in.:

  • Liczba i złożoność aplikacji/systemów
  • Dostępność środowisk testowych (np. staging vs produkcja)
  • Poziom otrzymanego przez pentestera dostępu – czy to testy black-box (bez wiedzy o systemie), grey-box (częściowa wiedza), czy white-box (pełny dostęp do kodu, architektury)
  • Głębokość testów – czy chcemy przeprowadzić pierwszy, podstawowy rekonesans czy pogłębione testy i przetestować bardziej skomplikowane scenariusze

Przykład testów penetracyjnych i ich długości:

Test prostej aplikacji np. z jednym panelem logowania, trzema formularzami (rejestracja, kontakt, edycja profilu), bez zewnętrznych integracji (np. SSO), bez API, z jednym prostym endpointem REST w trybie grey-box zajmie 5-7 dni.

Testy bankowej aplikacji webowej z logiką kredytową i integracją z systemami zewnętrznymi – nawet 40+ dni.

Dlatego porównując oferty, warto sprawdzić, ile dni testowych przewiduje dostawca.

 

A jak określić, jakiej długości testy penetracyjne aplikacji potrzebuję?

Trudno odpowiedzieć jednoznacznie, ale pomoże odpowiedź na następujące pytania:

  1. Czy w aplikacji bądź na serwerze, na którym jest uruchomiona, przechowywane są dane wrażliwe lub poufne?
  2. Czy aplikacja jest kluczowa dla działalności mojej firmy?
  3. Czy ciągłość działania aplikacji jest kluczowa dla operacji i wizerunku moich klientów?
  4. Czy wyłączenie z działania aplikacji na 3 godziny, 3 dni, 3 tygodnie będzie miało znaczący wpływ na działalność, finanse, wizerunek firmy?
  5. Czy do testów bezpieczeństwa obligują mnie przepisy czy wymagania branżowe np. NIS 2, DORA, TISAX?
  6. Czy aplikacja zintegrowana jest z innymi systemami?
  7. Czy aplikacja jest publicznie dostępna z Internetu lub udostępnia zewnętrzne API?
  8. Czy przetwarza płatności online lub znajduje się w zasięgu PCI DSS?

Jeżeli odpowiedź na przynajmniej jedno pytanie jest TAK, warto zainwestować w dłuższe, głębsze testy.

Warto też sprawdzić z firmą, która wykonuje testy penetracyjne, jaki jest jej rekomendowany czas testów na konkretną aplikację, dlaczego i w jakim zakresie będą testy przeprowadzone.

 

Nie wiesz, jak zaplanować testy Twojej aplikacji?

Porozmawiaj z nami