Ustal szczegóły testu penetracyjnego
Warto wziąć pod uwagę fakt, iż istnieje wiele różnych metodologii tzw testów penetracyjnych. Wszystko zależy od środowiska, używanych wiedzy oraz… preferencji. Tak na dobrą sprawę, zabezpieczenie sieci i aplikacji. a następnie i hakowanie zależy od wielu różnych metod i umiejętności atakującego.
Ważne jest by odpowiednio zaplanować tego typu testy. Jak zawsze, można coś zrobić szybko lub dobrze. Ewentualnie szybko i dobrze, jednak to będzie oznaczało większy koszt. Dlatego należy test dostosować do trzech elementów składających się na projekt. Są to:
– czas na wykonanie projektu
– jakość i skuteczność testu
– budżet wykonania testu
Dostosuj test do odbiorcy
Aczkolwiek, elementy te powinny być dobrze znane każdej osobie pracującej przy projektach. Szczególnie, projektach IT gdzie te elementy mają zawsze, nieodłączne znaczenie.
Ponadto, musisz dostosować test do odbiorcy. Czym się zajmuj klient? Jakiej jest wielkości? Może to być zarówno kilkuosobowa firma jak i międzynarodowe przedsiębiorstwo zatrudniające na całym świecie kilkadziesiąt tysięcy osób. Jakie są jego potrzeby? Czemu postanowił przeprowadzić test penetracyjny? Czy masz sprawdzić podatności w całej organizacji czy może w konkretnym oddziale w firmy?
Uzgodnij również co Ci wolno skanować? U jednej firmy będzie to test sieci, komputerów, a innych pełny. Jeden klient może nie wyrazić zgody na skan bazy danych i konkretnej aplikacji. Dla innego natomiast będzie to głównym celem.
Ważne jest określenie na samym starcie budżetu. Dzięki niemu jesteś w stanie określić czy będzie to prosty test czy może głębokie, wielopoziomowe atakowanie różnych warstw bezpieczeństwa firmy.
Komunikacja
Kolejna kwestia to komunikacja. Musisz wiedzieć komu raportujesz i komu wolno Ci powiedzieć o teście. A także kiedy? Na bieżąco czy po zakończeniu projektu? Tu mogą istnieć różne preferencje wśród firm. Przykładowo, jedna organizacja będzie wolała ukryć test przed departamentem IT. Natomiast, inna powie o tym wprost i będziesz mógł na bieżąco się z nimi komunikować oraz sugerować poprawki.
Plan powinien zawierać także końcowy etap komunikacji, czyli dostarczenie raportu. Musisz dowiedzieć się czy ma to być prosty raport z wykrytymi podatnościami czy może również lista z sugestiami dotyczącymi tego jak pozbyć się zagrożenia i w jakim czasie dziura może zostać załatana?
Ramy czasowe
Ustal również ramy czasowe. Jaki czas masz na przeprowadzenie testów? I w jakie dni i o jakiej porze roku możesz je przeprowadzić. Przykładowo, jeżeli testujesz podatności aplikacji firmy, której sezon i największe przychody mają na wiosnę to można zakładać, że nie dostaniesz w takim okresie zgody na przeprowadzenie testów. Wszak, mogłoby się wtedy coś wysypać i tym samym brak działania aplikacji lub sieci w firmie oznaczałby wysokie straty dla danej firmy. Zatem, musisz ustalić okres przeprowadzenia testów, by w razie awarii powstałej w wyniku testu, strat były jak najmniejsze.
Zalecam również zwrócenie uwagi klientowi na to, że test penetracyjny, który wykonasz tyczy się daty w którym został wykonany. Może się wydawać to naturalne, jednak warto poinformować o tym klienta. Również zapisując ten aspekt w umowie. Raport z testu penetracyjnego obrazuje stan i podatności na dzień w którym został wykonany. Nie przedstawia tego co się działo w sieci 2 tygodnie temu lub to co się wydarzy w przyszłości.
Dodaj komentarz