» »

Kako pogosto penetration testing?

Kako pogosto penetration testing?

hmm23 ::

V mali firmi a je dost, da se naredi 1x letno? Ali ob vsaki večji modifikaciji, upgradu, spremembi end user policy...?

Roadkill ::

Če ga enkrat letno narediš je to ogromno v primerjavi s provprečjem.

Kdo, ki pa pentesting izvaja ti ga bo pa vsak mesec priporočal :)

Bolj, kot da kar naprej penteste delaš, lahko kakega varnostnega specjalista povprašaš za pregled sprememb na varnostni infrastrukturi že preden jih narediš.
Oziroma pri razvoju lastnega softwara v fazi načrtovanja in pred deployem.
Ü

dosy ::

Kako pogosto je predvsem stvar vaše interne varnostne politike, ki verjetno sledi kateremu izmed standardov, da dosežete compliant status (PCI DSS, HIPAA,....)

Tako kot boš zapisal, tako potem izvajaj.

SeMiNeSanja ::

Jaz bi se kar strinjal z Roadkill-om.

Drugače pa je za moje pojme penetracijski test samo sestavni del celovitega varnostnega pregleda.
RESEN varnostni pregled v velikem podjetju lahko traja tudi tri mesece, v malem pa vse od treh dni pa do enega meseca (nikjer ni rečeno, da malo podjetje ne moreimeti celo kopico strežnikov in servisov).

Če ti nekdo ponuja penetracijski test, ki ga opravi v pol ure, je to bolj šalabajzerstvo, kot pa karkoli resnega. Resna testiranja se prično z preučevanjem vašega omrežja, da se naredi nekakšno inventuro, kaj vse bi bilo potrebno pretestirati in kje bi lahko tičale pomanjkljivosti, na katere bo potrebno polagati posebno pozornost pri dejanskem testu.
Ta del vzame največ časa in zahteva vaše sodelovanje, sicer rezultati na koncu niso nujno preveč realni.
Takšen varnostni pregled bo pokazal vrsto pomanjkljivosti ali tveganj, še predenj se jih 'potrdi' s pomočjo penetracijskega testa.
Obratno pa lahko imaš kakšno zelo rizično zadevo, ki ti jo sam penetracijski test ne bo pokazal, bi se pa lahko odkrila v okviru varnostnega pregleda, ki je uvod v resen penetracijski test.

Ker pa lahko slutiš, da gre tak resen test lahko v precejšnje denarje (10.000€ ni nič posebnega pri večjih firmah), se to bolj redko kje dela več kot 1x letno in se polaga več naporov v sprotno varnostno preverjanje sprememb na omrežju.

jkreuztzfeld ::

Še mojih 5 centov, malo bolj na temo OP.
Pri nas poskušamo delati verifikacijske varnostne preglede 1x na leto, vmes se pa periodično (dnevno,tedensko,mesečno) izvajajo avtomatski skeni. Pomemno je, da se med verifikacijskimi pregledi ne spreminja metodologija, tako da imaš primerljive rezultate.
--
Great minds run in great circles.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12631600 (18200) acookook
»

Podjetja ki izvajajo penetration teste

Oddelek: Informacijska varnost
265323 (2642) MTm2H37rqt7B
»

Čeferinu skušali vdreti v elektronsko pošto?

Oddelek: Informacijska varnost
144478 (3279) SeMiNeSanja
»

EU pripravlja hujše kazni za hekerje

Oddelek: Novice / Varnost
2410253 (8646) poweroff
»

Iščemo strokovnjaka zoper vdor, informacijsko varnost

Oddelek: Informacijska varnost
132687 (1696) poweroff

Več podobnih tem