Quando si esegue il pentesting di una rete, un pentestore dovrebbe considerare l'accesso fisico ai dispositivi (ad esempio, consentire l'uso di una penna USB)? O è fuori ambito?
Poiché Pentesting è un termine generico, copre molti campi, applicazioni web, revisione del codice sorgente, test di penetrazione della rete ...
Il test di penetrazione fisica è un ramo che può anche appartenere ai compiti del pentestore. Questo può andare dal verificare quale tipo di protezione utilizza il client per proteggere i suoi dati, al pentesting fisico reale (cercando di entrare nei locali dei clienti e vedere quali informazioni confidenziali si sarebbero in grado di rubare). Ho anche fatto delle revisioni del data center (che possono essere viste più come audit a volte poiché implicano il check-up ponendo domande piuttosto che test in realtà (non inizierai un vero fuoco per vedere se il rilevamento incendio funziona ovviamente))
Sebbene alcune aziende siano specializzate nei test di penetrazione fisica, molte società di test di penetrazione IT includono test fisici nei loro servizi. Questo perché la violazione di un brier fisico consentirebbe al pentestore l'accesso a un ambiente più privilegiato. Una società di sicurezza fisica potrebbe testare la forza delle serrature e delle guardie di sicurezza, ma non verifica come l'accesso fisico possa tradursi in rischi IT.
Alcune aziende sono emerse aiutando i pentitori IT a trasferirsi nello spazio fisico. Un esempio è la linea di prodotti link . Un pentito può entrare in una compagnia come ospite e collegare il pwnie express nella sua rete interna, quindi accedervi da remoto tramite WIFI o GSM.
Quindi il pentesting fisico dipende dal fatto che la compagnia che fornisce pentesting possa offrire questo servizio e se la parte che richiede il pentest acconsenta che "fisico" sia nel campo di applicazione del pentest.
Come pentester è probabile che tu abbia accesso a informazioni sensibili per i tuoi clienti (ad esempio dettagli sulle vulnerabilità della sicurezza), così i tuoi clienti si aspetteranno che tu ti prenda cura di tali informazioni e ti mantengano al sicuro.
In questo esempio direi che i pentesters dovrebbero mantenere tutti i dati crittografati ogni volta che si trovano su un dispositivo mobile (es. laptop, tablet, chiave USB), poiché c'è sempre il rischio che venga perso o rubato.
Oltre alle considerazioni sulla sicurezza, il contratto tra il cliente e la società pentest dovrebbe specificare i requisiti per la sicurezza dei dati, anche a seconda che i dati contengano informazioni di identificazione personale, quindi potrebbe essere presa in considerazione la legislazione sulla protezione dei dati.
Quindi tutto sommato sarebbe un sì:)
Leggi altre domande sui tag penetration-test