Results 1 to 1 of 1

Thread: Como escolher um profissional em Pentest(Teste de Invasão)

Threaded View

  1. #1
    Moderator firebits's Avatar
    Join Date
    Mar 2010
    Location
    Brazil
    Posts
    353

    Lightbulb Como escolher um profissional em Pentest(Teste de Invasão)

    O critério mais importante na escolha de um Pentester não é a habilidade técnica.

    Não é competência.
    Não é mesmo a capacidade de comunicar conclusões.

    É, muito simplesmente, a sua fiabilidade.

    Lembre-se de um teste de penetração é feito para avaliar a segurança de uma aplicação.

    Por exemplo, quando um Web site novo é lançado, um Pentest (Teste de Invasão) é muitas vezes feito para verificar se o firewall do site está configurado corretamente, se o servidor web está devidamente blindado (Hardening) e que as senhas padrão que foram alteradas.

    Ao permitir um Pentest (Teste de Invasão) a ser feito, você está deixando alguém ou até mesmo uma equipe, olhar através de seus computadores e redes. Essa equipe está procurando maneiras de violar os controles e obter acesso a informações sigilosas com sua autorização. Você os trouxe para encontrar falhas antes que os intrusos e invasores façam.

    Além disso, ele precisa ser feito discretamente.

    O que você não quer é que os Pentesters acabam revelando os problemas encontrados para os outros, quer seja informação privilegiada ou fora da empresa. Métodos de divulgação incluem, mas não estão limitados demais, e-mails, apresentações em conferências ou até mesmo blog postings.

    Acho que esse não é um problema?

    Considere que, nos últimos seis meses, fui informado de uma história onde um profissional de Pentest(Teste de Invasão) foi demitido de uma empresa para relatar resultados de Pentest(Teste de Invasão) em seu blog. (Como eu gostaria de dizer, não é legal.)

    Como você pode diminuir o seu risco? Use os seguintes critérios na seleção de pessoal para a atribuição de Pentest(Teste de Invasão).

    1. Confiabilidade
    Pode a pessoa ou a equipe selecionada ser confiável com as informações confidenciais que poderiam descobrir? O número 1 é o indicador de confiabilidade é geralmente de experiência. É difícil estar no negócio de Pentest(Teste de Invasão) por muito tempo se você não pode ser confiável. NOTA: Na minha opinião, as certificações não abordam confiabilidade. Dirigem-se a habilidade técnica.

    2. Disciplina
    Será que o Pentester ficar dentro das linhas traçadas para a tarefa?

    3. Competência
    O Pentester tem a habilidade para usar corretamente sua habilidade técnica, a fim de encontrar vulnerabilidades? Minha experiência tem demonstrado que Pentesters competentes podem encontrar mais com o nmap do que os menos competentes.

    4. Habilidade Técnica
    O Pentester compreende a tecnologia que eles estão testando? (Você pensaria que este seria o número um, certo?)

    5. Comunicação
    Pode o Pentester relacionar os resultados em questões de significado?

    6. Lógica de negócios
    Pode o Pentester entender as questões em mitigação e/ou estratégias de solução?

    Use um scorecard, faça pesquisas da sua carreira na Internet dentro e fora dela, ao procurar um Pentester onde você avalia as qualidades acima, na ordem acima. Isso irá ajudá-lo a obter os melhores resultados para Pentest(Teste de Invasão).

    Artigo Próprio por firebits
    http://www.backtrack-linux.org/forum.../firebits.html
    Last edited by firebits; 04-19-2010 at 11:22 AM.

Similar Threads

  1. Replies: 9
    Last Post: 06-11-2010, 03:26 PM
  2. ¿Como instalar Tor en BT4?
    By ColdSteel in forum Soporte en Software
    Replies: 4
    Last Post: 05-05-2010, 12:44 AM
  3. Falando sobre Pentesting (teste de invasão)
    By firebits in forum Iniciantes
    Replies: 0
    Last Post: 04-09-2010, 07:43 PM
  4. Teste de vulnerabilidades com OpenVAS 3.0 - parte 1
    By firebits in forum Tutoriais e Howtos
    Replies: 1
    Last Post: 04-09-2010, 06:39 PM

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •