Parceiros
Neste guia, discutiremos como realizamos o escopo e as perguntas que você deve fazer a clientes em potencial para ter uma ideia melhor do tamanho de um projeto.
Documentos de suporte:
Precificação em excel
Antes de começarmos
Algumas coisas importantes para lembrar durante o escopo:
Não é uma ciência exata. Muitas vezes, estamos estimando com base na experiência passada e nos dados limitados fornecidos a nós pelos clientes.
Dado o ponto 1, não há problema em sub/superdimensionar o escopo. Erros acontecerão; não há necessidade de se estressar com isso. Aprenda e siga em frente.
É mais fácil obter informações de um cliente em uma chamada de escopo de 30 minutos do que em um documento de escopo. Geralmente, com a cultura da nossa empresa, preferimos a comunicação pessoal, mas também é mais fácil fazer perguntas diretas sobre o escopo e os porquês.
O escopo deve ser fácil para o cliente. As perguntas sobre o escopo podem ser incomuns para eles. Tente tornar a experiência o mais fácil possível.
A estimativa de tempo deve incluir tudo o que é necessário para fornecer um serviço de alta qualidade. Isso inclui:
O hacking/teste/trabalho/etc. real.
Escrita de relatório
QA desse relatório
Reuniões de início e debriefing
Comunicações contínuas com o cliente
Tempo de viagem interestadual
Com esses pontos em mente, vamos continuar.
Normalmente, a conversa pode começar com um cliente pedindo um trabalho muito específico: "Preciso de um teste de invasão externo".
Esse é um ótimo ponto de partida, mas precisamos dar alguns passos para trás.
Por que eles precisam de um teste de invasão externo?
Pesquise profundamente aqui. Respostas como "Para encontrar vulnerabilidades" não são úteis, então você terá que ser mais direto.
Existe um requisito de auditoria?
Eles estão preocupados que os dados do cliente sejam violados?
Eles têm um programa de segurança?
Existe um requisito de tempo do teste?
Diferentes empresas se preocupam com a segurança por diferentes motivos, e é importante chegar ao cerne desses motivos.
Entender os motivos ajudará imensamente ao recomendar o que eles devem fazer com sua segurança. Talvez um teste de invasão externo seja o caminho certo a seguir, mas talvez uma revisão de segurança seja melhor, ou ambos.
Perguntas de contexto
Algumas outras coisas que você pode querer perguntar:
Prazos: quando eles precisam que o trabalho comece? Há algum prazo?
Orçamento: é totalmente aceitável se o cliente não tiver um e não quiser compartilhar essas informações, mas saber o orçamento nos ajuda a fazer melhores recomendações e obter o melhor retorno sobre o investimento.
Restrições: há algo que possa afetar nossa capacidade de fazer o trabalho?
Comunicação: eles preferem e-mail ou reuniões?
Escopo do teste de invasão
Agora que você conhece os requisitos do cliente e por que ele precisa de ajuda com infosec, podemos fazer perguntas específicas sobre o escopo pretendido.
(Se ainda não fez, agora é um bom momento para fazer uma pausa e verificar nosso Catálogo de Serviços antes de continuar) .
Teste de Invasão externo
Este é bem fácil. Usamos números brutos para isso, então precisamos saber:
Quantos endereços IP externos o cliente possui (total)?
Quantos deles estão ativos (hospedando pelo menos 1 serviço)?
Quantos domínios raiz estão no escopo (por exemplo, example.com)?
Uma coisa importante a ser observada: os testes de invasão externos cobrem aplicativos prontos para uso, como Outlook Web Access, páginas de login VPN, compartilhamento de arquivos etc., mas não cobrem aplicativos da Web personalizados criados apenas para o cliente. Use o guia de escopo do aplicativo da Web para eles.
Teste de invasão interno
Os internos são muito parecidos. Usamos números brutos para determinar o tamanho do escopo:
Quantos servidores existem (físicos e virtuais)?
Quantos dispositivos de rede existem (roteadores, switches, pontos de acesso etc.)?
Quantos dispositivos de usuário existem (estações de trabalho, laptops)?
Quantos dispositivos de IoT existem (câmeras, telefones, impressoras, qualquer outra coisa com um endereço IP)?
Existe um domínio do Windows (Active Directory)?
De qual local físico estamos testando?
Teste de invasão de Aplicação Web
Devido à complexidade dos aplicativos da Web, eles podem ser incrivelmente difíceis de definir. Em vez de usar números brutos como nos anteriores, tentamos avaliar o quão "complexo" um aplicativo da Web é. Normalmente, quanto mais funções, mais complexo o aplicativo é. Se alguma funcionalidade afeta outra funcionalidade, a complexidade aumenta novamente.
Para demonstrar, aqui estão alguns exemplos:
Aplicação pequena
Um aplicativo pequeno tem poucas funções (menos de 10) e são simples por natureza. Por exemplo, um site quase estático com uma função de pesquisa e um formulário de contato seria considerado pequeno.
Aplicação média
Um aplicativo médio tem dezenas de funções (10-100). Essas funções são complexas e podem se inter-relacionar entre si. Por exemplo, um aplicativo básico de comércio eletrônico com produtos, um carrinho de compras e funcionalidade de pagamento é considerado um aplicativo médio.
Aplicação grande
Um aplicativo grande é aquele que tem centenas de recursos/funções e onde as funções podem ser inter-relacionadas entre si. Ele pode ter vários caminhos de autenticação, funcionalidade de leitura/gravação para vários conjuntos de dados, ter funcionalidade de upload ou um fluxo complexo. Por exemplo, um CMS como o Pipedrive é considerado um aplicativo grande.
Autenticado vs. Não autenticado
Autenticado vs. Não autenticado é tudo sobre a perspectiva. Quantas funções podem ser vistas/acessadas da perspectiva fornecida. A perspectiva guiará o tamanho visível do aplicativo. Por exemplo, um aplicativo CMS visto de uma perspectiva autenticada teria centenas de funções, tornando-o uma aplicação grande. Enquanto isso, o mesmo aplicativo de uma perspectiva não autenticada teria apenas as funções de login e redefinição de senha visíveis, tornando-o uma aplicação pequena.
Teste de invasão de aplicação mobile
Aplicativos móveis são tão complexos de escopo quanto aplicação web.
Este aplicativo está no Android, iOS ou ambos?
Como podemos obter acesso ao aplicativo (por exemplo, AppStore, TestFlight, arquivo apk personalizado)?
Campanha de phishing
O phishing é mais bem discutido com o cliente por meio de uma chamada. No entanto, algumas perguntas preliminares são:
Quantos usuários estamos testando?
Quantas campanhas (rodadas) estamos realizando?
Outros serviços
Qualquer serviço não coberto acima deve ter uma chamada de escopo. Como a infosec é cheia de jargões e terminologia mista, há muito espaço para confusão sem uma chamada de escopo.
Projetos com tempo limitado
Embora prefiramos projetos de escopo completo (cujo fim é ditado por um resultado), oferecemos uma opção para limitar o tempo de um projeto.
Em um projeto com tempo limitado (ou time-boxed), realizamos qualquer trabalho que pudermos em um determinado período de tempo. Nesse cenário, não podemos garantir um resultado satisfatório ou que cobrimos todo o escopo, e é por isso que não é o ideal.
Há, no entanto, circunstâncias em que um projeto com tempo limitado é favorável; por exemplo, quando o escopo não é bem definido devido à falta de informações, ou quando há restrições de tempo ou orçamento.
Custos de viagem
Alguns trabalhos, como testes de invasão internos, exigem que compareçamos ao escritório do cliente e o local específico do teste deve ser discutido com o cliente durante o escopo. Isso significa que pode haver custos de viagem se o consultor precisar viajar para um local de difícil acesso.
Os custos de viagem devem ser estimados com antecedência e adicionados ao orçamento total do projeto. Eles são cobrados pelo custo, portanto, não obtemos lucro aqui. Os custos de viagem podem incluir:
Voos
Acomodação
Transfers de/para o aeroporto
Aluguel de carro
Refeições
Dúvidas?
A segurança é um problema complicado, então, se você tiver alguma dúvida, nossos consultores estão sempre disponíveis para respondê-las ou atender chamadas de escopo com os clientes.
Last updated
Was this helpful?