Se la tua azienda utilizza un programma di terze parti per eseguire la scansione delle vulnerabilità,
Se stai valutando la tua rete per la prima volta, ti suggerirei di concedere l'accesso completo ai pentesters.
Otterrai un rapporto completo che includerà tutte le vulnerabilità esistenti nelle tue risorse.
Questo ti darà la completa comprensione per pianificare l'aggiornamento della sicurezza della tua rete.
Inoltre, durante un pentest, i tester tentano un gran numero di attacchi in un tempo molto breve. Per favore ricorda che in pratica un attaccante potrebbe provare questi attacchi lentamente, per un periodo di tempo più lungo, e scivolare sotto il radar. Per consentire ai tester di testare in modo efficiente, l'elenco in bianco dei tester è essenziale.
Dipende dal tuo modello di minaccia reale.
Se hai paura della minaccia dei dipendenti interni, dovresti dare ai pentester grandi livelli di accesso - forse persino amministratore di sistema o accesso di rete generale.
Se, tuttavia, hai più paura delle minacce trasmesse da Internet, allora un coinvolgimento in una scatola nera sarebbe più appropriato.
Personalmente mi piace fare entrambe le cose, magari alternativamente ogni anno.
Leggi altre domande sui tag penetration-test whitelist vulnerability-scanners