Enhver virksomhed har den særlige byrde at forberede og også udføre punktering test (pen-test) om sine lokaler og systemer på flere intervaller. Men kender nogle selskaber opnå dette med punktering undersøge samt stole på leverandørens, der skal levere de fleste af retning. Her kan være en lille forklaring på dit punktere testmetode, hvoraf skal hjælpe beskyttelse repræsentanter i at køre den egentlige prøve.
Definition Dette element adskiller fra hvilken slags skadelige angribere kan være selskabet forsøger at forsvare sig selv. Hver næste kontrol sort er bare ikke en enorm række af de foregående. For korrekt punktere test, har du fået til at hjælpe med at udføre næsten alle tre slags involverer test. Denne analyse forberede så snart godkendt, vil muligvis blive ændret i retning af pen-test kontrakt, som også bør tilføje følgende: Audit Endelig er anført her er et diagram af penetration testprocessen BEMÆRK : Dette indlæg er ikke skyde for giver en fuld pen-test metode. Det er absolut ikke desto mindre påvirket af en OSSTMM 2.2 (Open-Source Security Testing Methodology Manual), som jeg kunne foreslå til at blive undersøge ved hjælp af alle. Denne forsikring er absolut forbundet med en rimelig teknisk karakter, kan ud over at være meget mere nyttigt at hjælpe penetration testere og derefter for at organisationer, der kan ansætte dem.
En penetration analysere (pen-test) er en styret proces, hvor en betroet tredjepart opnår stabilitet kontrol ved hjælp af metoder, redskaber sammen med design, som kunne altid udføres af simpelthen persons med ondsindet hensigt
Elementer af pensions-test
Target -. en ressource, der kan være fokuseret på infiltration over pennen-testen. Den målrettede generelt er en individuel ting (server, router, sikker) samt et sæt forbundet med metoder, ved hjælp af mange fællesnævner (serverfarm, multilevel segment, kontorer)
Trophy - en læring ressource, som testere har til opgave sammen med udvinding og også ødelægge. Angribere almindeligvis udholde at nå udnytte angrebet, og hvis det særlige ædle henvisning faktisk er identificeret, kan det mærkes som et »trofæ« at blive vundet via pen-testere. Bære på hjerte, som til tider trofæet kan ikke være en ny naturlig element, men en formindsket funktionalitet eller endda program, der vil plette dette renommé om selskabet
Test vektor -. Dette angreb station eller endda antal stationer, at de pen-testere sandsynligvis vil bruge under testen
Test style -.. hvilken slags test vil pennen-tester udfører
Black box - den særlige pen-tester fungerer din episode uden brug af tidligere opfattelse af infrastruktur, støttemekanismer og transmission ruter fra målet for organisationen. Sort boks eksperiment er faktisk en simulering af usystematisk angreb i form af weekend eller måske wannabe cyberpunks (script kiddies).
Gray box - den særlige pen-tester opnår den faktiske strejke sammen med begrænset forståelse af denne infrastruktur, forsvarsmekanismer samt kommunikationskanaler fra målet organisationen. Gray fælles kasse analysere er en simulering af den systematiske skade ved klar udvendige angribere og også insidere med behersket optagelse samt privilegier.
White fælles box - den faktiske pen-tester kører infiltration hjælp hele fortrolighed med de særlige infrastruktur, støttemekanismer og kommunikationsprogrammer med det formål for organisationen. White box test er normalt en simulering af en grundig strejke ved blot effektivt forberedt udendørs angribere ved hjælp insider-forbindelser eller endda insidere hjælp stort set ubegrænset adgang og privilegier.
Proces
penetrationstest ud nødt til at være okayed gennem førende management, sammen med korrekt lukket beslutning. Dommen at kunne udføre en ny pen-test sammen med det fakta skal bevares se, at velafsikrede teknik, og som er kendt udelukkende til førende management, sikkerhed officer tilhører organisationen sammen med indvendig audit.
butik med forsøget (pen-tester) skal være en vis form for velrenommerede sammen med pålidelig leverandør med passende erfaring. Før større administration godkendelse, skal din butik give en specifik pen-test vil ofte være godkendt af den pågældende stabilitet officer. Denne undersøgelse program er nødt til at indeholde punkter om
målet
trofæet
testen vektor (lokaliteter, at de er testet, løsninger med pen-test skader, herunder telefonnumre, IP kontakt osv.)
undersøgelsen sort (hvid, grå og også trækul boks)
navne og også referencer alle personer, der kan udføre de særlige pen-test, som de er accepteret af køber
Listen er forbundet med udstyr og metoder, der vil blive brugt gennem pen-test
metode i forbindelse med afskærmning næsten alle samlet hemmelige oplysninger under pen-test
metode til egenkontrol hele pen-test proces
metode, som indebærer køber-revision hele pen-test proces
periode af tid af pennen-test
A vilkår vedrørende sanktioner for stort set alle skader, forårsaget af den særlige pen-test, som burde nok ikke være bedre så vil din aftale værdi, undtagen når ondsindede hensigter er bevist
tilbud vedrørende højrisiko kontrol godkendelse i, at din forbruger vil være enig eller måske modbevise måske farlige tests. Skulle disse former for eksamener bliver godkendt, et indeks over fokus på og kontrol skal ofte være inkluderet.
vilkår for dig bekræfte, at du ikke har splid spændende af enhver form for inkluderet sammenkomster i penetration test. Denne klausul burde omfatte såvel som ændres ved hele branchen tilhørsforhold mest nødvendige parter.
En klausul om 100% diskretion - begrænsning af at ansætte de endelige resultater i forbindelse med eksamen vedrørende industrielle formål; stopper på bibel om henvisninger vedrørende pen-test total og højeste sikkerhedsforanstaltning af al information, endelige resultater og også konklusioner udarbejdet mens selve forhandlingen, forberedelse plus pen-test trods aktive Non-disclosure aftaler.
tilbuddet om hurtig hele videregivelse - alle indsamlede resultater i tillæg til data skal indberettes med detaljer, på trods af forudsagte belastningsgrad. Hver Konklusionen må indarbejde ressourcer og også metode historie bruges til at komme til den konklusion. Alle ideer forventes, da kritiske og også alvorlige behov for at blive annonceret, da de helt sikkert normalt indregnes mens pennen-testen, og også alt i dybden gennemgang bør afleveres igennem inden højest mulige 24 timer dage og nætter efter afslutningen af pennen -test.
Da penetration processen er virkelig en styret proces, der skal være genstand for hurtig og bagefter revision. Dette kan såvel som bør omfatte
ved hånden overvågning på punktere testen som det normalt udføres
filme hele din procedure på video kamera
totalforsyning fange på de fleste grænseflader hvorved penetration checken er faktisk udføres
Ken Primby http://kenlyngeprimby.wordpress.com}
Automatic blog by iAutoblog
Ingen kommentarer:
Send en kommentar
Bemærk! Kun medlemmer af denne blog kan sende kommentarer.