Ho intenzione di assumere una società di sicurezza di terze parti per i test di penetrazione nella nostra rete aziendale. Ho già selezionato una società di test di penne e di scatole nere per eseguirli, ma hanno richiesto dettagli riguardanti la nostra rete; configurazione di rete, intranet, quali dati devono essere forniti a loro? e quali dati non dovrebbero essere forniti?
Dato che i penetratori hanno una quantità limitata di tempo (dal momento che forniscono loro una quantità limitata di denaro) possono fare un lavoro migliore in quel momento più informazioni hanno dall'inizio. Quindi, se sei interessato ad aiutarti effettivamente ad aumentare la tua sicurezza, è meglio dare loro tutti i dettagli che vogliono.
Se invece vuoi avere un risultato che dice che non hanno trovato molto nel tempo che hanno, quindi fai il loro lavoro il più difficile possibile e non fornire alcuna informazione. Ma mentre un risultato del genere potrebbe sembrare buono in un report di gestione, probabilmente non rifletterà la vera (in) sicurezza della tua rete.
Leggi altre domande sui tag audit penetration-test vulnerability-assessment