Le fasi del Penetration Testing – Introduzione

Introduzione

Quando iniziamo una attività di Pen Testing, quali sono i primi task di cui dobbiamo occuparci, quali sono le attività che dobbiamo svolgere ed in quale ordine devono essere espletate ?
Di seguito le fasi come descritte dal consorzio ISSAF che, anche se non aggiornate dal 2006, costituiscono una ottima soluzione per organizzare il lavoro di un Pentester:

  • Pianificazione e preparazione;
  • Assessment;
  • Reporting.

La fase di Pianificazione e Preparazione coinvolge tutti i processi relativi alla stesura e firma di un documento di mutuo accordo tra le parti ovvero tra chi richiede le attività di Penetration Testing e chi si occuperà di effettuare il Pen Testing vero e proprio; il documento dovrebbe identificare il gruppo di lavoro, le date per l’esecuzione della attività, gli orari e via discorrendo.

  • Scopo, quali sono gli indirizzi IP da scansionare, quali azioni sono permesse e quali no: avete il permesso di eseguire degli exploit o siete limitati solo a verificare le vulnerabilità ? E’ chiaro e noto che alcune azioni potrebbero portare al down di un server o di un router ? E’ chiaro al cliente che alcune azioni potrebbero essere potenzialmente distruttive per i Sistemi Operativi o per i dati ?
  • Timeframe, i Penetration Test possono essere svolti 24/7 o devono essere eseguiti in giorni ed orari predefiniti,ad esempio in periodo di downtime (es. dalle 18:30 alle 8:30 del mattino) ?
  • Contatti, chi siete autorizzati a contattare, ed in quale circostanza ? Siete autorizzati a contattare in caso di urgenze 24/7 al telefono o il tramite di contatto richiesto sono le E-mail ?
  • “Esci Gratis di Prigione”, avete un contratto scritto che vi autorizza alle attività di Pen Testing ? Nel caso in cui i sistemi siano hostate presso terze parti, avete l’autorizzazione dell’Hosting Provider a procedere ? Il rischio è una denuncia se non addirittura una condanna.
  • Pagamento, quando come e quanto vi pagheranno ?
  • N.D.A., avete stipulato un NDA con il Cliente che lo tutela da una vostra possibile divulgazione delle informazioni riservate che avete trovato nel corso della attività di Pen Testing ?

Leave a Reply

Your email address will not be published. Required fields are marked *