"Penetration Testing" non è comunque la stessa cosa di "Vulnerability Scan"?
I test di penetrazione e la scansione delle vulnerabilità sono applicazioni diverse.Vulnerability Scan include controlli rapidi con veicoli automatizzati. Non viene svolto alcun lavoro sullo sfruttamento o sui diversi effetti puntuali delle aperture rilevate dopo lo screening delle vulnerabilità.
Oltre allo screening delle vulnerabilità, il Penetration Test include la verifica dei risultati della scansione, lo sfruttamento delle vulnerabilità riscontrate e il rilevamento di diverse vulnerabilità con nuove analisi sui sistemi, nonché l'esame delle vulnerabilità derivanti dalla logica di business.
Quali risorse un'organizzazione dovrebbe aver testato secondo ISO/IEC 27001?
L'istituzione è tenuta ad avere un test di penetrazione per tutte le sue attività scritte nel "Inventario delle attività". Istituzionale; sistemi server, componenti di rete, applicazioni web, applicazioni mobili sono esempi di queste risorse.
Il criterio da considerare a questo punto è se le attività esistenti siano di competenza dell'ente. Ad esempio, se le applicazioni che l'organizzazione ha sviluppato e trasferito a un cliente non sono più sotto la responsabilità dell'istituzione, i test di penetrazione non sono necessari per loro.
Quando tutte le risorse sono considerate per i test di penetrazione, c'è un costo molto elevato? Come si può alleviare questo problema?
A questo punto, il metodo di "screening delle vulnerabilità" potrebbe venire in soccorso. Se l'istituzione conduce uno screening delle vulnerabilità invece di test di penetrazione per le attività con bassi livelli di criticità, avrà adottato una misura di base a un costo inferiore.
Inoltre, nei sistemi che hanno effettuato l'accesso con un account utente, la rimozione delle fasi post-"accesso" dall'ambito del test ridurrà il costo del test. Sebbene sia utile testare le fasi di post-login, è possibile effettuare un calcolo dei costi in questo modo per testare la parte anonima dell'applicazione nella prima fase.
Un'altra pratica che ridurrà il costo del lavoro di test di penetrazione è quella di avere la massima cooperazione con il team di test nel processo di test. In questo processo, dare accesso diretto ai sistemi da testare impedirà al team di test di perdere tempo durante l'esplorazione e l'accesso ai sistemi, il che ridurrà i costi.
Cosa significano i test di penetrazione secondo ISO/IEC 27001?
ISO/IEC 27001 non fornisce né raccomanda alcuna metodologia di test di penetrazione. In questo contesto, l'uso del termine "test di penetrazione conforme alla norma ISO 27001" è generalmente considerato corretto.
Per comprendere l'argomento, i seguenti regolamenti, metodologie o linee guida possono essere forniti come esempi di diversi usi con cui questa frase è compatibile?
- Test di penetrazione conformi allo standard PCI DSS
- Test di penetrazione conformi a ISSAF
- Test di penetrazione conformi a OWASP
[Fonte: Pubblicato da BTUYUM il 9 ottobre 2021]