I test di penetrazione possono essere considerati parte di un esauriente programma di gestione delle vulnerabilità? P.S: Mi rendo conto della differenza tra test di penetrazione e valutazione della vulnerabilità. Ma voglio sapere se entrambi rientrano nell'ombrello della gestione delle vulnerabilità?
Assolutamente. I test di penetrazione possono essere considerati una parte fondamentale sia della gestione delle vulnerabilità che delle valutazioni delle vulnerabilità. I test di penetrazione sono molto diversi dalla scansione delle vulnerabilità sebbene la scansione delle vulnerabilità possa essere una delle attività iniziali eseguite in un test di penetrazione per identificare problemi evidenti nell'ambiente.
I test di penetrazione all'interno di un programma di gestione delle vulnerabilità dovrebbero essere eseguiti quando sono stati affrontati problemi evidenti, in modo che l'ambiente sia soggetto a uno scenario di attacco reale. È solo a questo punto che le difese in atto possono essere veramente misurate.
Quando stai valutando il tuo rischio nel tuo programma di gestione delle vulnerabilità, ci sono due fattori per l'equazione del rischio. Le valutazioni delle vulnerabilità forniscono il fattore che ti dà il vettore di exploit e il suo valore di rischio potenziale per la tua organizzazione. Ma il valore di rischio effettivo deve essere indirizzato in loco dell'ambiente che verrà sfruttato per sapere quanto sia veramente grave per lo scenario specifico di tuo . L'analisi di sfruttamento (test di penetrazione) fornisce quel valore di rischio reale e illumina i rischi primari, secondari e terziari che le valutazioni di vulnerabilità non possono illuminare dal rischio portale identificato nella valutazione della vulnerabilità.
Quindi, ad esempio, so che a casa mia ho finestre e sono una vulnerabilità, perché praticamente qualsiasi criminale idiota può scavalcare una finestra (anche con una rivelazione di allarme finestra decente, btw). E potrei pensare di essere "al sicuro" perché ho un buon grado di sicurezza per i gioiellieri. Conservo i miei gioielli. Tuttavia, quando assumo qualcuno per sfruttare le mie finestre e mi intrometto, potrei trovare il mio altro significativo di cui ho bisogno (nel caso delle emergenze) per entrare in quella cassastrong, ha annotato la combinazione sicura e le ha registrate sulla sua scrivania in ufficio, proprio accanto a una delle finestre. Ora, nella mia valutazione della vulnerabilità, Windows potrebbe essere valutato come da basso a medio nella mia valutazione del rischio poiché si tratta di una ben nota vulnerabilità. Tuttavia, non fino alla mia analisi di sfruttamento trovo di avere un rischio MAGGIORE a causa della mancanza di protocolli nella gestione della combinazione alla mia sicurezza.
Si tratta di: cosa intendi per pentesting.
Gli scanner di vulnerabilità presentano un'elevata incidenza di falsi positivi e la verifica di una vulnerabilità implica spesso lo sfruttamento.
Se intendi raggruppare in rosso il tuo ambiente, è un buon modo per testare la risposta del tuo team alle minacce attive. Dà anche una buona immagine della minaccia reale rispetto all'ambiente piuttosto che valutare un rischio da solo senza contesto.
Se stai solo cercando di vergognare i tuoi sviluppatori, spenderei i miei soldi altrove.
-
Non sottovalutarlo come parte di un programma di gestione del rischio a tutto tondo, è importante, ma è più una leva di sensibilizzazione per il management che non per chi lavora sulla tecnologia. Un team di gestione dell'infrastruttura ben motivato e finanziato (e orientato alla sicurezza) può fare molto di più per te nel 99% dei casi rispetto a un rapporto che dice quello che ti hanno detto che farà sempre per il loro morale.
Leggi altre domande sui tag penetration-test