È una cattiva pratica e poco professionale completare test di penetrazione da città lontane, senza incontrare i tuoi clienti di persona?
È una cattiva pratica e poco professionale completare test di penetrazione da città lontane, senza incontrare i tuoi clienti di persona?
Sto tentando una risposta in base all'esperienza acquisita con il coordinamento dei test delle penne per le aziende di Fortune 100. Sfortunatamente penso che la risposta sia "dipende" ma spero che sia utile.
Is it bad practice and unprofessional to complete penetration tests from distant cities, without meeting your clients in person?
La prima e più importante cosa da sapere è che devi avere autorizzazione per eseguire il test di penetrazione. Non importa se faccia a faccia o remota. Ciò significa un documento formale dal cliente e da qualsiasi fornitore di terze parti. Ad esempio, se il tuo cliente utilizza AWS (Amazon Web Services), allora devi avere l'approvazione scritta e l'autorizzazione del test, nonché il ambito del test da non solo il cliente ma anche da AWS. Che tu faccia questo faccia a faccia o da remoto, non importa: è meglio avere l'approvazione legale per eseguire il test.
Quando lo si coordina da remoto, si rischia di controllare la supervisione di questo importante punto.
Per quanto riguarda incontrare il tuo cliente di persona, ciò dipende dal cliente. Alcuni clienti vogliono faccia a faccia, a qualcuno non interessa. Ma più di questo, e come accennato da GdD, le aspettative devono essere concordate prima di eseguire il test. Questo di solito viene fornito sotto forma di ambito, costi e risultati.
Sto solo buttando questo fuori come bonus, ma i clienti dovrebbero capire che il test è un'istantanea nel tempo. Le persone, i processi e la tecnologia sono una parte importante dell'intero ciclo di vita, quindi solo ottenere un A + su un pen-test non è la prova che il cliente è "sicuro" per l'eternità.
La cosa più importante per un test di penetrazione è che le aspettative del cliente siano chiaramente comunicate al tester. Questo può essere fatto faccia a faccia o da remoto. Un incontro faccia a faccia può essere molto utile in questo, ma non è necessario e ho visto ottimi test di penetrazione eseguiti senza incontrare nessuno dall'organizzazione di test perché i requisiti sono stati comunicati in modo efficace. Ciò è stato fatto documentando i requisiti e quindi chiama al telefono per rispondere alle domande.
Se i tester sono un business piuttosto che un singolo individuo, probabilmente non incontrerai le persone che eseguiranno il test in ogni caso, più probabilmente incontrerai un rappresentante e uno staff di vendita mentre il "vero lavoro" può essere fatto da un gruppo di persone completamente diverso.
Si prega di fare riferimento alle righe seguenti da link
"Uno dei documenti più importanti che devono essere ottenuti per un test di penetrazione è il documento di autorizzazione alla prova. Questo documento indica l'ambito e contiene una firma che riconosce la consapevolezza delle attività dei tester. Affermare che il test può portare all'instabilità del sistema e che il tester deve prestare la dovuta attenzione per non arrestare i sistemi nel processo, tuttavia, poiché il test può portare all'instabilità, il cliente non può ritenere il tester responsabile di eventuali instabilità o crash del sistema. è fondamentale che il test non inizi finché questo documento non viene firmato dal cliente. "
Leggi altre domande sui tag penetration-test