Quali sono i vantaggi e gli svantaggi di avere un reparto pentest interno in una grande azienda rispetto ai fornitori di servizi esterni?
L'uso più efficace di un professionista della sicurezza con competenze di penetration test è di ospitare esercizi informatici. Alcuni si riferiscono a questo come una simulazione viola di squadra o avversario. Ogni approccio sarà unico per un'organizzazione o un insieme di organizzazioni e presenta i propri vantaggi e svantaggi.
Rafael Mudge ha recentemente parlato al SANS Pen Test Hackfest su [PDF - Hacking to Get Caught - PDF], basato sul suo materiale originale da un post di blog sulla simulazione dell'avversario .
Non penso che importi se assumi esternamente o internamente per questo tipo di lavoro - i vantaggi di assumere qualcuno internamente sono stati storicamente scoraggiati perché l'individuo "probabilmente si annoia", "diventa prevedibile" e diventa meno efficace perché la sua conoscenza dell'ambiente impedirebbe di vedere le cose da una prospettiva nuova o nuova. Tuttavia, con gli esercizi informatici che dimostrano il loro valore nei Security Operation Center, nei centri di fusione basati sull'intelligence delle minacce informatiche e nei team rossi interni, il valore di avere competenze di penetrazione interne sta rapidamente aumentando.
Ci sono alcune risorse su cui vorrei indirizzarti per comprendere appieno gli approcci tradizionali e non tradizionali alla ricerca di risorse per la penetrazione. Due libri, uno: "CISO's Guide to Penetration Testing: un quadro per pianificare, gestire e massimizzare i benefici", e l'altro, "Efficace prova di penetrazione" di Kevin Pescatello e Matthew Larsen. Nel precedente libro, il capitolo 5 tratta quattro tipi di test: parallelo condiviso, parallelo isolato, serie condivisa e serie isolate. Ognuno di questi approcci di test include due tipi di tester per la penetrazione esterna e un tipo interno: miscelazione di un mix e bilanciamento di requisiti e necessità.
Infine, vorrei sottolineare che i test di penetrazione sono un campo emergente e in evoluzione con una varietà di competenze provenienti da molti approcci non ortodossi e da una miriade di background. Introdotti nell'intelligence nazionale statunitense, sicurezza nazionale e TTP militari come wargaming, OPFOR, analisi di squadra rossa (RTA), teoria dei giochi, simulazione, intelligence di avviso, S & TI, TECHINT, intelligenza all-source, controspionaggio, MILDEC, contro-negazione, contro inganno, quadri analitici e modello del centro di fusione - Ho concluso che l'industria dei test di penetrazione è dovuta a una riscrittura totale. Queste antiquate valutazioni di terze parti che producono rapporti sono sempre state ridicole rispetto al conflitto, quindi è un precedente che abbracciamo il cambiamento, in particolare a causa di questa guerra informatica del 2014 e della totale situazione di rischio cibernetico che stiamo affrontando come economia globale o nel spazio geopolitico.
Leggi altre domande sui tag penetration-test