Tests de pénétration PENT
Test de l'efficacité des contrôles de sécurité par imitation d’outils et techniques d’attaquants potentiels.
Notes d’orientation
Les tests de pénétration peuvent être une activité autonome ou un aspect de tests d'acceptation avant autorisation d'exploitation.
Les activités peuvent inclure -- mais ne sont pas limitées à :
- piratage éthique : utilisation des mêmes outils et techniques qu'un adversaire pour exploiter en sans danger les failles de sécurité
- démonstration comment un adversaire pourrait subvertir les objectifs de sécurité ou atteindre des objectifs adversaires spécifiques
- évaluation de l’efficacité des défenses ou contrôles de mitigation implémentés / planifiés
- assurance de la sécurité de réseaux, systèmes et applications
- identification d’informations sur les risques commerciaux de diverses vulnérabilités
- test des faiblesses de réseau, infrastructure, Web et applications mobiles
- vérification des niveaux de patches et configurations
- ingénierie sociale.
Niveaux de responsabilité pour cette compétence
3 | 4 | 5 | 6 |
Tests de pénétration: Niveaux 1-2
Cette compétence n’est généralement pas observée ou pratiquée à ces niveaux de responsabilité et de responsabilisation.
Tests de pénétration: Niveau 3
Suit des approches standards pour concevoir et exécuter des activités de test de pénétration. Recherche et enquête les techniques d’attaque et recommande des manières de s’y défendre. Analyse et rapporte les activités, résultats, problèmes et risques des tests de pénétration.
Tests de pénétration: Niveau 4
Sélectionne les approches de test appropriées en utilisant une analyse technique approfondie des risques et vulnérabilités typiques. Produit des scénarios de test, matériaux et paquets de test et teste des réseaux, systèmes ou applications nouveaux et existants. Fournit des conseils sur les tests de pénétration pour aider autrui. Enregistre et analyse les actions et résultats et modifie les tests si nécessaire. Fournit des rapports sur les progrès, anomalies, risques et problèmes associés à l'ensemble du projet.
Tests de pénétration: Niveau 5
Planifie et pilote les tests de pénétration dans un domaine d'activité défini. Fournit des constatations objectives sur l'existence de vulnérabilités, l'efficacité des défenses et des contrôles d'atténuation. Assume la responsabilité de l'intégrité des activités de test et coordonne l'exécution de ces activités. Fournit conseils et orientations faisant autorité sur tous les aspects des tests de pénétration. Identifie les besoins et met en œuvre de nouvelles approches pour tests de pénétration. Contribue aux normes de test de sécurité.
Tests de pénétration: Niveau 6
Détermine la politique de test d'intrusion et est responsable des processus de support. Gère toutes les activités de test d'intrusion au sein de l'organisation. Évalue et conseille sur le caractère pratique des alternatives des processus de test. Établit la capacité d'amélioration continue et d'invention dans les tests d'intrusion et dirige la mise en œuvre de nouvelles approches. Évalue les capacités de développement et de test des fournisseurs. Gère les relations clients en ce qui concerne les tests de pénétration.
Tests de pénétration: Niveau 7
Cette compétence n’est généralement pas observée ou pratiquée à ce niveau de responsabilité et de responsabilisation.