È essenziale che un test di penetrazione e l'invio di un rapporto siano effettuati da un CEH o CISSP certificato? O qualsiasi persona esperta che abbia esperienza in sicurezza e amp; gli strumenti possono eseguire? Se qualcuno può farlo, lo stesso può essere accettato secondo i requisiti di conformità di qualsiasi standard come ISO 27001, PCI-DSS ecc.
Ci sono così tante diverse certificazioni, che i regolamenti globali non possono richiedere uno specifico.
Inoltre, le certificazioni variano ampiamente in ciò che coprono. CISSP non prepara qualcuno per i test di penetrazione. CEH può essere visto come troppo "leggero". L'organizzazione che offre il CEH ha una certificazione separata per i penetration tester ( LPT ).
Nel Regno Unito, c'è il CREST per i pentesters, che è richiesto per le società del Regno Unito in alcune situazioni normative.
Al momento, per gli standard ISO 27001 e PCI-DSS, è sufficiente dimostrare che il tester era "qualificato" per eseguire il test.
Ma non fare mai qualcosa solo perché un regolamento lo ha detto. Non dovrebbero essere esercizi di "check the box" in cui si fa il minimo indispensabile. Sono una guida per aiutarti a fare ciò che è meglio per il business. L'obiettivo è implementare la migliore forma dei requisiti normativi in modo da soddisfare gli obiettivi aziendali.
If any person can do, the same can be accepted as per the compliance requirement of any standard such as ISO 27001, PCI-DSS etc.
Parlando specificatamente a PCI, gli stati DSS (ad esempio):
11.3.1.b Verify that the test was performed by a qualified internal
resource or qualified external third party and, if applicable,
organizational independence of the tester exists (not required to
be a QSA or ASV).
"qualificato" in questo caso significa "come determinato dal QSA che esegue l'audit." Ho eseguito test di penetrazione come membro di un'azienda sotto PCI-DSS e gli auditor hanno chiesto di vedere il mio curriculum, che comprendeva anni di esperienza di sicurezza, il CISSP e un numero di certificati GIAC (non Pentest). Era facilmente sufficiente per loro.
Come per qualsiasi altra cosa sotto PCI-DSS, il tuo chilometraggio può variare in base al tuo QSA. E, tornando alla domanda più ampia di altri standard come ISO 27001, lo stesso è vero ... i requisiti per le credenziali del tester di penna non sono generalmente codificati negli standard, ma piuttosto lasciati al giudizio dell'auditor.
Leggi altre domande sui tag penetration-test