Como escolher um profissional em Pentest(Teste de Invasão)
O critério mais importante na escolha de um Pentester não é a habilidade técnica.
Não é competência.
Não é mesmo a capacidade de comunicar conclusões.
É, muito simplesmente, a sua fiabilidade.
Lembre-se de um teste de penetração é feito para avaliar a segurança de uma aplicação.
Por exemplo, quando um Web site novo é lançado, um Pentest (Teste de Invasão) é muitas vezes feito para verificar se o firewall do site está configurado corretamente, se o servidor web está devidamente blindado (Hardening) e que as senhas padrão que foram alteradas.
Ao permitir um Pentest (Teste de Invasão) a ser feito, você está deixando alguém ou até mesmo uma equipe, olhar através de seus computadores e redes. Essa equipe está procurando maneiras de violar os controles e obter acesso a informações sigilosas com sua autorização. Você os trouxe para encontrar falhas antes que os intrusos e invasores façam.
Além disso, ele precisa ser feito discretamente.
O que você não quer é que os Pentesters acabam revelando os problemas encontrados para os outros, quer seja informação privilegiada ou fora da empresa. Métodos de divulgação incluem, mas não estão limitados demais, e-mails, apresentações em conferências ou até mesmo blog postings.
Acho que esse não é um problema?
Considere que, nos últimos seis meses, fui informado de uma história onde um profissional de Pentest(Teste de Invasão) foi demitido de uma empresa para relatar resultados de Pentest(Teste de Invasão) em seu blog. (Como eu gostaria de dizer, não é legal.)
Como você pode diminuir o seu risco? Use os seguintes critérios na seleção de pessoal para a atribuição de Pentest(Teste de Invasão).
1. Confiabilidade
Pode a pessoa ou a equipe selecionada ser confiável com as informações confidenciais que poderiam descobrir? O número 1 é o indicador de confiabilidade é geralmente de experiência. É difícil estar no negócio de Pentest(Teste de Invasão) por muito tempo se você não pode ser confiável. NOTA: Na minha opinião, as certificações não abordam confiabilidade. Dirigem-se a habilidade técnica.
2. Disciplina
Será que o Pentester ficar dentro das linhas traçadas para a tarefa?
3. Competência
O Pentester tem a habilidade para usar corretamente sua habilidade técnica, a fim de encontrar vulnerabilidades? Minha experiência tem demonstrado que Pentesters competentes podem encontrar mais com o nmap do que os menos competentes.
4. Habilidade Técnica
O Pentester compreende a tecnologia que eles estão testando? (Você pensaria que este seria o número um, certo?)
5. Comunicação
Pode o Pentester relacionar os resultados em questões de significado?
6. Lógica de negócios
Pode o Pentester entender as questões em mitigação e/ou estratégias de solução?
Use um scorecard, faça pesquisas da sua carreira na Internet dentro e fora dela, ao procurar um Pentester onde você avalia as qualidades acima, na ordem acima. Isso irá ajudá-lo a obter os melhores resultados para Pentest(Teste de Invasão).
Artigo Próprio por firebits
http://www.backtrack-linux.org/forum.../firebits.html
Last edited by firebits; 04-19-2010 at 11:22 AM.
Posting Permissions
