Questa è una buona domanda poiché penso che molti posti si avvicinino al pen-test
in modo non corretto. Questo è diventato ancora peggiore perché il livello esecutivo di molti
le organizzazioni tendono a credere che la penna sia un proiettile d'argento - se ne hai uno
pen test e i risultati mostrano che non vi è stata alcuna penetrazione di successo
sistema, quindi la tua sicurezza è OK e possiamo tutti spuntare quella casella. Dall'altra
mano, se il test non riesce, il team di sicurezza non sta facendo il suo lavoro.
Questo semplicemente non è il caso.
Un pen-test è solo uno strumento che può essere utilizzato per valutare l'efficacia di
i tuoi controlli di sicurezza. Non ti dice che tutti i tuoi sistemi sono sicuri
e il livello di sicurezza che puoi inserire in quel test dipende molto
sia le capacità del tester della penna sia quanto bene hai specificato e pianificato
il test. La cosa peggiore che puoi fare è semplicemente chiamare un po 'di sicurezza
compagnia e dire "Ciao, voglio un pen-test, quando puoi farlo". Prima di impegnarsi a
pen tester, è necessario avere una chiara idea di cosa ti aspetti dal pen-test,
quali sono le tue priorità e quali informazioni desideri nella relazione finale. tu
voglio anche avvicinarmi a più di un fornitore. Quello che stai cercando è
qualcuno che è in grado di dimostrare di avere le giuste abilità, chi può
capire le tue esigenze e chi è in grado di fornirti un risultato che
può aiutarti a migliorare la tua posizione di sicurezza. Un pen test non dovrebbe essere
pensato come un 'test' nel senso di un passaggio o di un fallimento. Essenzialmente,
è necessario avere una chiara comprensione prima del test di quali sono i voti
e al completamento del test, avere sufficienti dettagli e informazioni per aiutare
ti concentri su come ottenere un voto migliore nel prossimo test.
Uno degli aspetti più difficili del test della penna è la qualità della penna
il test è molto variabile a seconda del soggetto che esegue il test della penna. io ho
cambiato società di sicurezza principalmente perché un dipendente della prima azienda
ha cambiato i datori di lavoro e quell'individuo era qualcuno che sapevamo fare bene
test di penna per l'organizzazione (di solito perché erano di talento e bravi a
il loro lavoro e perché hanno capito la nostra attività).
Coinvolgere un tester per penne è di per sé un'abilità. Otterrai meglio ogni volta
lo fai purché ti avvicini al compito con obiettivi chiari. Conoscendo il tuo
l'attuale posizione di sicurezza è solo una parte dell'equazione. Devi avere un
chiara idea di quale sia il tuo stato target finale. Cosa vuoi dal pen-test
è una maggiore chiarezza sulla tua posizione attuale e informazioni sufficienti
per aiutarti a sviluppare piani per spostare l'organizzazione allo stato desiderato.
Un buon test penna fornisce dettagli su ciò che è stato fatto, su ciò che è riuscito e
cosa è fallito. Non dovrebbe essere solo un elenco di possibili vulnerabilità o sistemi
che non sono al livello di patch più recente o esempi di "cattive pratiche". Tutto di
che può essere ottenuto con semplici valutazioni di vulnerabilità. Dovrebbe fornire
tutti i dettagli su come l'ambiente è stato penetrato e suggerimenti su cosa
i controlli potrebbero essere implementati per prevenire o ridurre la probabilità di ripetizione
occorrenze o l'impatto di questi eventi. Il rapporto sul test della penna dovrebbe
fornire dettagli sufficienti che è possibile valutare se un mancato accesso
perché i controlli sono adeguati o perché non c'è stato tempo sufficiente
assegnato o perché l'ambito era troppo limitato ecc. Per molti aspetti, cosa tu
stanno cercando una partnership con il pen tester su cui stanno lavorando
per migliorare la tua sicurezza.