O modelo global de competências para o mundo digital

Teste de intrusão PENT

Testes da eficácia dos controles de segurança, emulando as ferramentas e técnicas de prováveis invasores.

Notas orientativas

O teste de intrusão pode ser uma atividade independente ou um aspecto do teste de aceitação antes de uma aprovação para operação.

As atividades podem incluir, por exemplo:

  • hacking ético - uso das mesmas ferramentas e técnicas que um adversário para explorar com segurança as fraquezas de segurança
  • demonstração de como um adversário pode subverter metas de segurança ou atingir objetivos adversários específicos
  • avaliação da eficácia das defesas atuais/planejadas ou controles de mitigação
  • garantia da segurança de redes, sistemas e aplicativos
  • identificação de insights sobre os riscos de negócios de várias vulnerabilidades
  • testes de rede, infraestrutura, aplicativos da Web e móveis para pontos fracos
  • verificando níveis de patch e configurações
  • engenharia social.

Níveis

Definido nestes níveis: 3 4 5 6

Teste de intrusão: Níveis 1-2

Esta habilidade não é tipicamente observada ao trabalhar nestes níveis de responsabilidade.

Teste de intrusão: Nível 3

Segue abordagens padrão de projeto e execução de atividades de teste de intrusão. Pesquisa e investiga técnicas de ataque e recomenda formas de se defender contra elas. Analisa e elabora relatórios as atividades, resultados, problemas e riscos dos testes de intrusão.

Teste de intrusão: Nível 4

Seleciona a abordagem de teste apropriada usando uma análise técnica aprofundada de riscos e vulnerabilidades típicas. Produz scripts, materiais e pacotes de teste e efetua testes em redes, sistemas ou aplicativos novos e existentes. Registra e analisa as ações e resultados e modifica os testes, se necessário. Fornece relatórios sobre o progresso, anomalias, riscos e problemas associados ao projeto geral. Informa sobre testes de intrusão para dar suporte contra outros riscos.

Teste de intrusão: Nível 5

Planeja e conduz testes de intrusão dentro de uma área definida de atividades de negócios. Fornece insights objetivos sobre a existência de vulnerabilidades e sobre a eficácia das defesas e controles de mitigação. Assume a responsabilidade pela integridade das atividades de teste e coordena a execução dessas atividades. Fornece aconselhamento e orientações oficiais sobre todos os aspectos de testes de intrusão. Identifica necessidades e implementa novas abordagens para testes de intrusão. Contribui para os padrões de teste de segurança.

Teste de intrusão: Nível 6

Determina a política de testes de intrusão e detém os processos de suporte. Gerencia todas as atividades de teste de intrusão dentro da organização. Avalia e aconselha sobre a praticidade de alternativas de processo de teste. Estabelece recursos para a melhoria contínua e desenvolvimentos em testes de intrusão e orienta a implementação de novas abordagens. Avalia as capacidades de desenvolvimento e teste dos fornecedores. Gerencia o relacionamento com o cliente no que diz respeito a testes de intrusão.

Teste de intrusão: Nível 7

Esta habilidade não é tipicamente observada ao trabalhar neste nível de responsabilidade.