Hay dos tipos distintos de prueba que pueden ser realizados: anunciado y unannounced. La distinción viene cuando usted define se está probando qué: dispositivos de seguridad de la red o personal de la seguridad de la red.
|
|
La ayuda siguiente de las definiciones clarifica las diferencias entre los dos tipos de prueba.
La prueba anunciada es una tentativa de tener acceso y recuperar preidentified el file(s) de la bandera o comprometer sistemas en la red del cliente con la total cooperación y el conocimiento del ÉL personal. Tal prueba examina la infraestructura existente de la seguridad y los sistemas individuales para las vulnerabilidades posibles. Crear un ambiente equipo-orientado en el cual los miembros del personal de la seguridad de la organización sean parte del equipo de la penetración permite un ataque apuntado contra los anfitriones más de mérito.
La prueba unannounced es una tentativa de tener acceso y recuperar preidentified el file(s) de la bandera o comprometer sistemas en la red del cliente con el conocimiento solamente de los niveles superiores de la gerencia. Tal prueba examina la infraestructura existente de la seguridad y la sensibilidad del personal. Si se han creado los planes de la respuesta de la detección y del incidente de la intrusión, este tipo de prueba identificará cualquier debilidad en su ejecución. La prueba unannounced ofrece una prueba de los procedimientos de la seguridad de la organización además de la seguridad de la infraestructura.
En ambos casos, representativa en la organización que divulgaría normalmente aberturas de la seguridad a las autoridades legales debe estar enterada de la prueba prevenir la escalada a las organizaciones de la aplicación de ley.
También, la gerencia puede poner ciertas restricciones en la prueba de penetración sí mismo, tal como la necesidad de realizar una porción de la prueba (por ejemplo, guerra que marca) después de horas, para evitar ciertos servidores críticos en la red, para utilizar solamente cierto subconjunto de herramientas o hazañas (por ejemplo, omitir las herramientas del negacio'n-de-servicio), etcétera. Tales pautas que vienen de la gerencia superior se aplican sin importar el tipo de contrato. En la conclusión del contrato, los administradores de sistema deben poder repasar registros para identificar la prueba de penetración y para ayudarles a identificar ataques en el futuro.
Todo tiene sus ventajas y desventajas. En esta sección, discutimos los pros y el contra de cada tipo de prueba de la penetración.
La prueba anunciada los pros es una manera eficiente de comprobar encendido y pellizcar la seguridad controla la organización tiene en lugar. Crea un acercamiento equipo-orientado a la seguridad y permite que el personal de la organización experimente de primera mano qué su red parece a un intruso posible. Además, trabajando con personal permite que el probador concentre esfuerzos en los sistemas más críticos.
La prueba unannounced requiere un acercamiento más sutil. El probador intenta identificar blancos y comprometer la seguridad mientras que permanece debajo de la pantalla de radar de la organización de la blanco. Esta prueba puede probar más valioso a la organización debido a la gama de los artículos probados más allá de la tecnología.
El contra con la prueba anunciada, como los agujeros grandes se identifican en la red del cliente, los administradores de sistema los cerrará rápidamente para evitar compromiso. Esto puede hacer la penetración adicional difícil no permitiendo el compromiso adicional de la vulnerabilidad. Además, una prueba anunciada da un plazo de tiempo del personal de la seguridad para realizar los cambios temporales a la red que agregan seguridad adicional. Esto da a gerencia un sentido falso de la seguridad. La red puede ser segura durante la prueba, pero tan pronto como la prueba sea completa y se restauran los ajustes originales, cualquier vulnerabilidad original volverá también, unbeknownst a la organización.
El riesgo con la prueba unannounced es ése puesto que los administradores de la seguridad no saben que se está realizando una prueba, ellos responderán como a un hacker y bloquearán los esfuerzos de la prueba de penetración (conexiones de la gota, máquinas del reboot, etcétera). Esto indicaría que un buen proceso de response/detection está en lugar, pero puede cortar un cortocircuito de la prueba. El peligro con esta prueba es que han conocido de vez en cuando a los administradores de la seguridad para entrar en contacto con las autoridades relevantes para divulgar las actividades de la penetración. Para controlar este riesgo, la organización debe tener un proceso de la escalada en lugar con un individuo específico que es responsable de entrar en contacto con autoridades. Esta persona debe estar enterada que está ocurriendo la prueba.
Otro riesgo durante la prueba unannounced es que los administradores pueden hacer modificaciones al ambiente durante el período de prueba, que podría sesgar los resultados. Si el administrador de la red está aumentando un sistema, está poniendo un nuevo servicio en ejecucio'n, o está tomando ciertos sistemas fuera de línea durante la prueba, los resultados pueden no ser tan útiles como de otra manera. Además, el probador debe estar enterado de acontecimientos trimestrales o semi-trimestrales (tales como transferencias grandes de la información de la contabilidad) y de horario de reserva a evitar de interferir con estas operaciones.
Ocasionalmente durante la penetración que prueba, el cliente puede ser incómodo con permitir que el probador realice las acciones que conducen realmente a un compromiso. Por ejemplo, puede ser posible tener acceso a la rebajadora para la red A y alterar su tabla de encaminamiento para aparecer como si la red (que ataca) sea haber confiado en, la red interna y después para encaminar tráfico de esa red a través de la rebajadora a otro confiado en, red interna, red B. Entonces esta rebajadora comprometida podría conectar el probador y la red de la blanco (b), puenteando medidas de seguridad con su relación de la confianza con una red menos segura (a).
Sin embargo, el cliente puede no quisiera que esta actividad fuera realizada. Alterar la tabla de encaminamiento puede conducir a las complicaciones adicionales para la red del cliente. El cliente puede ser satisfecho que usted puede demostrar que puede ser hecha y describir cómo fijar la situación. Los tiros de la pantalla del acceso documentado del sistema pueden trabajar bien para este propósito. En tales casos, documente el corte posible junto con su nivel del riesgo y contramedidas disponibles.
Online: 649 users browsing the articles directory
|
|