Revista si suplimente
MarketWatch
Inapoi Inainte

Teste de penetrare: Angajeaza un Hacker!

22 Septembrie 2006




Recomandarile actuale din industrie presupun definirea unor roluri precise pentru consultantul care desfasoara testele si implementarea testelor pornind de la rolul cu cele mai putine cunostinte despre sistem (Black Box) si terminand cu teste de tip White Box.


4. Factori critici de succes


Calitatea serviciului de testare de penetrare depinde in mod direct de compania care presteaza acest serviciu si de consultantii angajati direct in proiect.


Cateva din aspectele care trebuie urmarite in alegerea unei companii / consultant pentru implementarea testelor de penetrare sunt:


* Evitarea alegerii unei companii care a fost implicata in designul / implementarea solutiei care urmeaza sa fie testata.


* Alegerea unei companii/consultant care are experienta in desfasurarea unor astfel de servicii, iar aici referintele joaca un rol extrem de important.


* Verificati metodologia de desfasurare a testelor, precum si insusirea ei de catre consultanti. Exista mai multe metode si standarde acceptate international, cum ar fi OSSTMM, ISSAF, NIST, ISACA etc.


* Verificati daca pe langa contractul comercial se va incheia si un document specific acestor teste: Rules of Engagement ce defineste clar rolurile, limitarile si autorizarea desfasurarii testelor.


* Evitati alegerea unei companii care presteaza si livreaza un set fix, predefinit de teste, asa numitele “canned tests”. Oferta consultantului trebuie sa reflecte cat mai precis scopul si obiectivele pe care le urmariti.


* Verificati in ce masura prestatorul va folosi tool-uri automate vs. teste manuale. Un minim acceptabil este ca vulnerabilitatile descoperite automat sa fie validate prin teste manuale eliminand astfel falsele pozitive.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite