Le competenze globali e il quadro delle competenze per un mondo digitale

Test di penetrazione PENT

Testare l'efficacia dei controlli di sicurezza emulando gli strumenti e le tecniche dei probabili aggressori.

Note di orientamento

I test di penetrazione possono essere un'attività autonoma o un aspetto dei test di accettazione prima di un'approvazione al funzionamento.

Le attività includono, in modo non limitativo:

  • hacking etico: utilizzare gli stessi strumenti e le stesse tecniche di un avversario per sfruttare in sicurezza le debolezze della sicurezza
  • dimostrare come un avversario può sovvertire gli obiettivi di sicurezza o raggiungere specifici obiettivi di contraddittorio
  • valutare l'efficacia delle difese attuali/pianificate o dei controlli di mitigazione
  • assicurare la protezione di reti, sistemi e applicazioni
  • identificare informazioni sui rischi aziendali di varie vulnerabilità
  • test di rete, infrastruttura, applicazioni web e mobili per individuare i punti deboli
  • controllo dei livelli e delle configurazioni delle patch
  • ingegneria sociale.

livelli

Definito ai seguenti livelli: 3 4 5 6

Test di penetrazione: Livelli 1-2

Questa competenza non è tipicamente osservata quando si lavora a questi livelli di responsabilità.

Test di penetrazione: Livello 3

Segue approcci standard per progettare ed eseguire attività di test di penetrazione. Ricerca e indaga sulle tecniche di attacco e consiglia modi per difendersi dalle stesse. Analizza e riferisce su attività di test di penetrazione, risultati, problemi e rischi.

Test di penetrazione: Livello 4

Seleziona l'approccio di test appropriato utilizzando un'analisi tecnica approfondita dei rischi e delle vulnerabilità tipiche. Produce script di test, materiali e pacchetti di test e testa reti, sistemi o applicazioni nuovi ed esistenti. Fornisce consulenza sui test di penetrazione per supportare gli altri. Registra e analizza azioni e risultati e modifica i test se necessario. Fornisce rapporti su progresso, anomalie, rischi e problematiche associate al progetto complessivo.

Test di penetrazione: Livello 5

Pianifica e guida i test di penetrazione all'interno di un'area definita di attività aziendale. Fornisce informazioni oggettive sull'esistenza di vulnerabilità, sull'efficacia delle difese e sulla mitigazione dei controlli. Si assume la responsabilità dell'integrità delle attività di test e coordina l'esecuzione di queste attività. Fornisce consigli e indicazioni autorevoli su tutti gli aspetti dei test di penetrazione. Identifica le esigenze e applica nuovi approcci per i test di penetrazione. Contribuisce agli standard di test di sicurezza.

Test di penetrazione: Livello 6

Determina la politica di test di penetrazione e gestisce i processi di supporto. Gestisce tutte le attività di test di penetrazione all'interno dell'organizzazione. Valuta e consiglia sulla praticabilità dei test di alternative di processo. Stabilisce la capacità di miglioramento e invenzione continui nei test di penetrazione e guida l'applicazione di nuovi approcci. Valuta le capacità di sviluppo e test dei fornitori. Gestisce le relazioni con i clienti rispetto ai test di penetrazione.

Test di penetrazione: Livello 7

Questa competenza non è tipicamente osservata quando si lavora a questo livello di responsabilità.