Come posso misurare l'efficacia di un test di penetrazione eseguito in un ambiente cloud (IaaS / PaaS) da un fornitore di terze parti? Dovrei chiedere un punteggio CVSS o qualcos'altro?
Qualsiasi consiglio sarà molto apprezzato.
TL; DR - Dovresti ricevere un rapporto dal penetration-tester che valuterà la sicurezza dei sistemi che stai utilizzando, solitamente useranno un punteggio CVSS per giudicare quanto è vulnerabile qualcosa .
Se hai avuto un pen-test professionale, produrranno idealmente un rapporto sui problemi che hanno riscontrato, su come hanno sfruttato i problemi e, naturalmente, su quanto siano critici questi problemi. Questo è in genere fatto con un punteggio CVSS in quanto è un buon modo per misurare la gravità delle vulnerabilità.
The Common Vulnerability Scoring System (CVSS) is a free and open industry standard for assessing the severity of computer system security vulnerabilities. CVSS attempts to assign severity scores to vulnerabilities, allowing responders to prioritize responses and resources according to the threat. - Wikipedia
Quindi, insomma, sì, idealmente dovrebbero darti dei punteggi CVSS, dovresti anche ricevere il loro rapporto che spiegherà in dettaglio i loro risultati da dove sarai in grado di capire come risolverlo. Ovviamente è richiesto un po 'di buonsenso, il pen-tester può solo valutare ciò che sanno; come ogni umano possono sbagliare, quindi quando leggi il loro rapporto assicurati che tutto abbia un senso & puoi valutare te stesso la sicurezza (in una certa misura) ovviamente il pen-tester è più qualificato di te nell'identificare le vulnerabilità, quindi non indovinare tutto ciò che ti hanno detto, ma assicurati che abbia senso.
Come tutto, molto dipende dal tuo modello di minaccia se sei una piccola azienda e pensi che non sarai colpito dagli stati-nazione e ti indicherà un difetto in una suite di crittografia che sei in cui solo uno stato-nazione potrebbe attaccare (e sai che costa troppo per la correzione), allora forse è meglio che tu esegua una valutazione interna del rischio al riguardo. Solo perché hanno prodotto un rapporto non significa che non puoi produrre il tuo e identificare i rischi te stesso - di fatto lo incoraggerei. Non ha senso che un'azienda tocchi tutto (se non possono permetterselo), solo essere a conoscenza del livello di esperienza dei pen-tester.
In sostanza, tutto si riduce a Analisi dei rischi
Leggi altre domande sui tag cloud-computing penetration-test cvss