デジタル世界のためのグローバルなスキルとコンピテンシーのフレームワーク

侵入テスト PENT

攻撃者の可能性のあるツールと手法をエミュレートすることにより、セキュリティ制御の有効性をテストします。

ガイダンスノート

侵入テスト(ペネトレーションテスト)は、スタンドアロンアクティビティ、または運用の承認前の受入テストの側面である可能性があります。

アクティビティには次のものが含まれますが、これらに限定されません。

  • 倫理的なハッキング—攻撃者と同じツールと手法を使用して、セキュリティの弱点を安全に悪用します。
  • 敵対者がセキュリティ目標を覆したり、特定の敵対者の目的を達成したりする方法を説明する。
  • 現在/計画中の防御または緩和制御の有効性を評価する。
  • ネットワーク、システム、およびアプリケーションのセキュリティを保証する。
  • 暗号実装の強度と有効性の評価
  • さまざまな脆弱性のビジネスリスクに対する洞察を認識する。
  • ネットワーク、インフラストラクチャ、ウェブ、モバイルアプリケーションの弱点をテストする。
  • パッチレベルと構成の確認
  • ソーシャルエンジニアリング

このスキルの責任レベルを理解する

下位レベルが定義されていない場合...
  • 特定のタスクと責任は、スキルが意思決定において、これらのレベルで通常期待されるよりも高いレベルの自律性、影響力、および複雑さを必要とするため、定義されていません。エッセンス・ステートメントを使用して、これらのレベルに関連する一般的な責任を理解できます。
上位レベルが定義されていない場合...
  • 責任と説明責任は、これらのより高いレベルには、この特定のスキルの範囲を超えた戦略的リーダーシップとより広範な組織的影響力が含まれるため、定義されていません。エッセンスステートメントを参照してください。

スキルを開発し、このスキルに関連する責任を示す

定義されたレベルは、スキルと責任の段階的な進歩を示します。

下位レベルが定義されていない場合...

次の方法で、知識を深め、この分野で責任を持つ他の人をサポートすることができます。

  • このスキルに関連する重要な概念と原則、およびそれが自分の役割に与える影響を学ぶ
  • 関連スキルの実行(関連するSFIAスキルを参照)
  • より高いレベルのタスクや活動を行っている他の人を支援する
上位レベルが定義されていない場合...
  • より高いレベルの組織のリーダーシップにより適した関連スキルを開発することで進歩することができます。

追加の説明とレベルを表示/非表示にします。

このスキルに対する責任レベル

2 3 4 5 6

侵入テスト: レベル 2

レベル2-アシストする: レベルの本質:他者を援助し、日常的な監督下で働き、日常的な問題に対して裁量権を用いて対処します。訓練や実地体験を通じて積極的に学びます。

日常的な監督下でペネトレーションテスト作業を支援する。システム、ネットワーク、アプリケーションでの標準ペネトレーションテストの実行をサポートします。テスト結果、調査結果、潜在的なセキュリティリスクを文書化して報告するのに役立ちます。

侵入テスト: レベル 3

レベル3- 適用する: レベルの本質:標準的な方法と手順を使用して、時には複雑で非定型的なさまざまなタスクを実行します。一般的な指示の下で機能し、裁量権を行使し、期限内に自分の仕事を管理します。職場でのスキルと影響力を積極的に高めます。

標準的なアプローチに従って、ペネトレーションテストアクティビティを設計および実行します。 攻撃手法を調査および調査し、それらを防御する方法を推奨します。 ペネトレーションテストの活動、結果、問題、およびリスクに関する分析とレポート。

侵入テスト: レベル 4

レベル4-実現する: レベルの本質:多様で複雑な活動を行い、他者をサポートして指導し、適切な場合はタスクを委任し、一般的な指示の下で自律的に作業し、チームの目標を達成するために専門知識を貢献します。

リスクと典型的な脆弱性の詳細なテクニカル分析を使用して、適切なテストアプローチを選択します。 テストスクリプト、資料、テストパックを作成し、新規および既存のネットワーク、システム、またはアプリケーションをテストします。 他の人をサポートするためのペネトレーションテストに関するアドバイスを提供します。 アクションと結果を記録および分析し、必要に応じてテストを変更します。 プロジェクト全体に関連する進捗状況、異常、リスク、および問題に関するレポートを提供します。

侵入テスト: レベル 5

レベル5-確信し、忠告する: レベルのエッセンス:各分野で権威ある指導を行い、幅広い指示の下で活動します。分析から実行、評価まで、大きな仕事の成果をもたらす責任があります。

事業活動の定義された領域内でペネトレーションテストを計画および推進します。 脆弱性の存在、防御の有効性、および制御の緩和に関する客観的な洞察を提供します。 テストアクティビティの整合性に責任を持ち、これらのアクティビティの実行を調整します。 ペネトレーションテストのすべての側面に関する信頼できるアドバイスとガイダンスを提供します。 ニーズを特定し、侵入テストの新しいアプローチを実装します。 セキュリティテスト標準に貢献します。

侵入テスト: レベル 6

レベル6-開始する、影響を与えます。: レベルの本質:組織に大きな影響力を持ち、ハイレベルな意思決定を行い、ポリシーを形成し、リーダーシップを発揮し、組織的なコラボレーションを促進し、主要な領域の説明責任を受け入れます。

ペネトレーションテストポリシーを決定し、サポートプロセスを所有します。 組織内のすべてのペネトレーションテスト活動を管理します。 テストプロセスの代替案の実用性をアセスし、アドバイスします。 ペネトレーションテストにおける継続的な改善と発明の能力を確立し、新しいアプローチの実装を主導します。 サプライヤーの開発およびテスト能力をアセスします。 ペネトレーションテストに関するクライアントとの関係を管理します。