Pro / contro del reparto pentest interno rispetto ai pentesters esterni

2

Quali sono i vantaggi e gli svantaggi di avere un reparto pentest interno in una grande azienda rispetto ai fornitori di servizi esterni?

    
posta HWoodson 13.10.2014 - 21:32
fonte

1 risposta

3

L'uso più efficace di un professionista della sicurezza con competenze di penetration test è di ospitare esercizi informatici. Alcuni si riferiscono a questo come una simulazione viola di squadra o avversario. Ogni approccio sarà unico per un'organizzazione o un insieme di organizzazioni e presenta i propri vantaggi e svantaggi.

Rafael Mudge ha recentemente parlato al SANS Pen Test Hackfest su [PDF - Hacking to Get Caught - PDF], basato sul suo materiale originale da un post di blog sulla simulazione dell'avversario .

Non penso che importi se assumi esternamente o internamente per questo tipo di lavoro - i vantaggi di assumere qualcuno internamente sono stati storicamente scoraggiati perché l'individuo "probabilmente si annoia", "diventa prevedibile" e diventa meno efficace perché la sua conoscenza dell'ambiente impedirebbe di vedere le cose da una prospettiva nuova o nuova. Tuttavia, con gli esercizi informatici che dimostrano il loro valore nei Security Operation Center, nei centri di fusione basati sull'intelligence delle minacce informatiche e nei team rossi interni, il valore di avere competenze di penetrazione interne sta rapidamente aumentando.

Ci sono alcune risorse su cui vorrei indirizzarti per comprendere appieno gli approcci tradizionali e non tradizionali alla ricerca di risorse per la penetrazione. Due libri, uno: "CISO's Guide to Penetration Testing: un quadro per pianificare, gestire e massimizzare i benefici", e l'altro, "Efficace prova di penetrazione" di Kevin Pescatello e Matthew Larsen. Nel precedente libro, il capitolo 5 tratta quattro tipi di test: parallelo condiviso, parallelo isolato, serie condivisa e serie isolate. Ognuno di questi approcci di test include due tipi di tester per la penetrazione esterna e un tipo interno: miscelazione di un mix e bilanciamento di requisiti e necessità.

Infine, vorrei sottolineare che i test di penetrazione sono un campo emergente e in evoluzione con una varietà di competenze provenienti da molti approcci non ortodossi e da una miriade di background. Introdotti nell'intelligence nazionale statunitense, sicurezza nazionale e TTP militari come wargaming, OPFOR, analisi di squadra rossa (RTA), teoria dei giochi, simulazione, intelligence di avviso, S & TI, TECHINT, intelligenza all-source, controspionaggio, MILDEC, contro-negazione, contro inganno, quadri analitici e modello del centro di fusione - Ho concluso che l'industria dei test di penetrazione è dovuta a una riscrittura totale. Queste antiquate valutazioni di terze parti che producono rapporti sono sempre state ridicole rispetto al conflitto, quindi è un precedente che abbracciamo il cambiamento, in particolare a causa di questa guerra informatica del 2014 e della totale situazione di rischio cibernetico che stiamo affrontando come economia globale o nel spazio geopolitico.

    
risposta data 03.12.2014 - 17:37
fonte

Leggi altre domande sui tag