Registrácia do služby Ares

V prípade záujmu o bezpečnostné testovanie najskôr odporúčame sa prihlásiť do služby (nielen) vyhľadávania zraniteľností, Achilles.

Službu hodnotenia zraniteľností formou penetračného testu subjektom poskytujeme podľa dostupných kapacít VJ CSIRT. Žiadosť o výkon penetračného testovanie je potrebné zaslať oficiálne na adresu ares@csirt.sk aspoň 4 mesiace (kvôli kapacitným obmedzeniam) pred požadovaným termínom penetračného testovania.

Pred odoslaním žiadosti je potrebné zvážiť nasledujúce požiadavky, ktoré musia byť naplnené ešte pred realizáciou penetračného testovania:

1.  Finálna verzia dokumentácie riešenia (v podobnom formáte ako Detailný návrh riešenia, DNR) so zoznamom implementovaných prípadov použitia.
2.  Architektúra riešenia (prostredie aplikácie a využívané technológie).
3.  Používateľská príručka.
4.  Technická/integračná príručka.
5.  Zdrojový kód testovaného riešenia.
6. Počas dohodnutej doby testovania je potrebné dočasne vypnúť bezpečnostné riešenia zamedzujúce dopytovaniu sa na aplikáciu, napr. Web Application Firewall (niekedy je implementovaný formou Intrusion Prevention System). Zdrojové IP adresy, pre ktoré je potrebné WAF alebo IPS vypnúť budú doručené členmi VJ CSIRT.
7. V prípade nálezov počas testovania alebo analýzy zdrojového kódu môže byť potrebná súčinnosť dodávateľa, ak sa objavia otázky zo strany VJ CSIRT.
8. Biznis logiku aplikácie je potrebné predviesť používateľom aplikácie pre členov VJ CSIRT, aby sme vedeli určiť, ako sa s aplikáciou pracuje a určiť, kde môžu nastať chyby v jej logike.
9. Penetračné testovanie sa vykonáva na testovacom prostredí a na dokončenej verzii aplikácie.
10. Je nevyhnutné zriadiť požadované prístupy a roly (odporúča sa po 2 prístupy z každej používateľskej roly) v rámci aplikácie a prístup do testovacieho prostredia pre členov VJ CSIRT (pre požadovaný počet bezpečnostných analytikov). Ak je prístup k testovaciemu prostrediu realizovaný formou VPN, je potrebné vytvoriť aj tieto prístupy.
11. Ako je uvedené v technických podmienkach, penetračné testovanie vykonávame výhradne na testovacom prostredí, ktoré je vyčlenené počas celej doby penetračného testovania výhradne pre testovanie Vládnou jednotkou CSIRT. Na tomto prostredí neprebieha aktivita žiadnych iných používateľov nerobia sa zmeny v kóde ani konfigurácie, používa sa zdrojový kód a konfigurácia, ktoré boli dohodnuté pred začatím penetračného testovania.
12. Na posúdenie žiadosti je celú funkcionalitu aplikácie potrebné prezentovať v rámci VJ CSIRT, s čím súvisí určenie rozsahu testovania a časovej náročnosti. Na základe kapacít VJ CSIRT môže byť žiadosť odsunutá na neskôr, keďže žiadosti sú zoradené podľa priority.