デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

侵入テスト PENT

攻撃者の可能性のあるツールと手法をエミュレートすることにより、セキュリティ制御の有効性をテストします。

ガイダンスノート

侵入テスト(ペネトレーションテスト)は、スタンドアロンアクティビティ、または運用の承認前の受入テストの側面である可能性があります。

アクティビティには次のものが含まれますが、これらに限定されません。

  • 倫理的なハッキング—攻撃者と同じツールと手法を使用して、セキュリティの弱点を安全に悪用します。
  • 敵対者がセキュリティ目標を覆したり、特定の敵対者の目的を達成したりする方法を説明する。
  • 現在/計画中の防御または緩和制御の有効性を評価する。
  • ネットワーク、システム、およびアプリケーションのセキュリティを保証する。
  • さまざまな脆弱性のビジネスリスクに対する洞察を認識する。
  • ネットワーク、インフラストラクチャ、ウェブ、モバイルアプリケーションの弱点をテストする。
  • パッチレベルと構成の確認
  • ソーシャルエンジニアリング

このスキルに対する責任レベル

3 4 5 6

侵入テスト: レベル 1-2

このスキルは、通常、これらのレベルの責任と説明責任では観察または実践されません。

侵入テスト: レベル 3

標準的なアプローチに従って、ペネトレーションテストアクティビティを設計および実行します。 攻撃手法を調査および調査し、それらを防御する方法を推奨します。 ペネトレーションテストの活動、結果、問題、およびリスクに関する分析とレポート。

侵入テスト: レベル 4

リスクと典型的な脆弱性の詳細なテクニカル分析を使用して、適切なテストアプローチを選択します。 テストスクリプト、資料、テストパックを作成し、新規および既存のネットワーク、システム、またはアプリケーションをテストします。 他の人をサポートするためのペネトレーションテストに関するアドバイスを提供します。 アクションと結果を記録および分析し、必要に応じてテストを変更します。 プロジェクト全体に関連する進捗状況、異常、リスク、および問題に関するレポートを提供します。

侵入テスト: レベル 5

事業活動の定義された領域内でペネトレーションテストを計画および推進します。 脆弱性の存在、防御の有効性、および制御の緩和に関する客観的な洞察を提供します。 テストアクティビティの整合性に責任を持ち、これらのアクティビティの実行を調整します。 ペネトレーションテストのすべての側面に関する信頼できるアドバイスとガイダンスを提供します。 ニーズを特定し、侵入テストの新しいアプローチを実装します。 セキュリティテスト標準に貢献します。

侵入テスト: レベル 6

ペネトレーションテストポリシーを決定し、サポートプロセスを所有します。 組織内のすべてのペネトレーションテスト活動を管理します。 テストプロセスの代替案の実用性をアセスし、アドバイスします。 ペネトレーションテストにおける継続的な改善と発明の能力を確立し、新しいアプローチの実装を主導します。 サプライヤーの開発およびテスト能力をアセスします。 ペネトレーションテストに関するクライアントとの関係を管理します。

侵入テスト: レベル 7

このスキルは、通常、このレベルの責任と説明責任で観察または実践されることはありません。