侵入テスト PENT
攻撃者の可能性のあるツールと手法をエミュレートすることにより、セキュリティ制御の有効性をテストします。
ガイダンスノート
侵入テスト(ペネトレーションテスト)は、スタンドアロンアクティビティ、または運用の承認前の受入テストの側面である可能性があります。
アクティビティには次のものが含まれますが、これらに限定されません。
- 倫理的なハッキング—攻撃者と同じツールと手法を使用して、セキュリティの弱点を安全に悪用します。
- 敵対者がセキュリティ目標を覆したり、特定の敵対者の目的を達成したりする方法を説明する。
- 現在/計画中の防御または緩和制御の有効性を評価する。
- ネットワーク、システム、およびアプリケーションのセキュリティを保証する。
- 暗号実装の強度と有効性の評価
- さまざまな脆弱性のビジネスリスクに対する洞察を認識する。
- ネットワーク、インフラストラクチャ、ウェブ、モバイルアプリケーションの弱点をテストする。
- パッチレベルと構成の確認
- ソーシャルエンジニアリング
このスキルの責任レベルを理解する
下位レベルが定義されていない場合...
- 特定のタスクと責任は、スキルが意思決定において、これらのレベルで通常期待されるよりも高いレベルの自律性、影響力、および複雑さを必要とするため、定義されていません。エッセンス・ステートメントを使用して、これらのレベルに関連する一般的な責任を理解できます。
上位レベルが定義されていない場合...
- 責任と説明責任は、これらのより高いレベルには、この特定のスキルの範囲を超えた戦略的リーダーシップとより広範な組織的影響力が含まれるため、定義されていません。エッセンスステートメントを参照してください。
スキルを開発し、このスキルに関連する責任を示す
定義されたレベルは、スキルと責任の段階的な進歩を示します。
下位レベルが定義されていない場合...
次の方法で、知識を深め、この分野で責任を持つ他の人をサポートすることができます。
- このスキルに関連する重要な概念と原則、およびそれが自分の役割に与える影響を学ぶ
- 関連スキルの実行(関連するSFIAスキルを参照)
- より高いレベルのタスクや活動を行っている他の人を支援する
上位レベルが定義されていない場合...
- より高いレベルの組織のリーダーシップにより適した関連スキルを開発することで進歩することができます。
SFIAスキルが7つのレベルすべてで定義されていない理由については、クリックしてください。
追加の説明とレベルを表示/非表示にします。
このスキルに対する責任レベル
2 | 3 | 4 | 5 | 6 |
侵入テスト: レベル 2
日常的な監督下でペネトレーションテスト作業を支援する。システム、ネットワーク、アプリケーションでの標準ペネトレーションテストの実行をサポートします。テスト結果、調査結果、潜在的なセキュリティリスクを文書化して報告するのに役立ちます。
侵入テスト: レベル 3
標準的なアプローチに従って、ペネトレーションテストアクティビティを設計および実行します。 攻撃手法を調査および調査し、それらを防御する方法を推奨します。 ペネトレーションテストの活動、結果、問題、およびリスクに関する分析とレポート。
侵入テスト: レベル 4
リスクと典型的な脆弱性の詳細なテクニカル分析を使用して、適切なテストアプローチを選択します。 テストスクリプト、資料、テストパックを作成し、新規および既存のネットワーク、システム、またはアプリケーションをテストします。 他の人をサポートするためのペネトレーションテストに関するアドバイスを提供します。 アクションと結果を記録および分析し、必要に応じてテストを変更します。 プロジェクト全体に関連する進捗状況、異常、リスク、および問題に関するレポートを提供します。
侵入テスト: レベル 5
事業活動の定義された領域内でペネトレーションテストを計画および推進します。 脆弱性の存在、防御の有効性、および制御の緩和に関する客観的な洞察を提供します。 テストアクティビティの整合性に責任を持ち、これらのアクティビティの実行を調整します。 ペネトレーションテストのすべての側面に関する信頼できるアドバイスとガイダンスを提供します。 ニーズを特定し、侵入テストの新しいアプローチを実装します。 セキュリティテスト標準に貢献します。
侵入テスト: レベル 6
ペネトレーションテストポリシーを決定し、サポートプロセスを所有します。 組織内のすべてのペネトレーションテスト活動を管理します。 テストプロセスの代替案の実用性をアセスし、アドバイスします。 ペネトレーションテストにおける継続的な改善と発明の能力を確立し、新しいアプローチの実装を主導します。 サプライヤーの開発およびテスト能力をアセスします。 ペネトレーションテストに関するクライアントとの関係を管理します。