Testy penetracyjne PENT

Testowanie skuteczności kontroli bezpieczeństwa poprzez emulację narzędzi i technik prawdopodobnych napastników.

Uwagi zawierające wskazówki

Testy penetracyjne mogą być samodzielnym działaniem lub aspektem testów akceptacyjnych przed wydaniem zgody na użytkowanie.

Działania obejmują między innymi:

hacking etyczny – wykorzystywanie tych samych narzędzi i technik co przeciwnik w celu bezpiecznego wykorzystania słabych punktów zabezpieczeń
pokazanie, w jaki sposób przeciwnik może podważyć cele bezpieczeństwa lub osiągnąć konkretne antagonistyczne cele
ocenę skuteczności obecnych/planowanych zabezpieczeń lub kontroli łagodzących
zapewnienie bezpieczeństwa sieci, systemów i aplikacji
ocena siły i skuteczności implementacji kryptograficznych
identyfikowanie wglądu w ryzyko biznesowe związane z różnymi lukami w zabezpieczeniach
testowanie sieci, infrastruktury, aplikacji internetowych i mobilnych pod kątem słabych punktów
sprawdzanie poziomów poprawek i konfiguracji
inżynierię społeczną.

Zrozumienie poziomów odpowiedzialności związanych z tą umiejętnością

Tam, gdzie niższe poziomy nie są zdefiniowane...

Konkretne zadania i obowiązki nie są zdefiniowane, ponieważ umiejętność wymaga wyższego poziomu autonomii, wpływu i złożoności w podejmowaniu decyzji, niż zwykle oczekuje się na tych poziomach. Możesz użyć stwierdzeń esencji, aby zrozumieć ogólne obowiązki związane z tymi poziomami.

Tam, gdzie wyższe poziomy nie są zdefiniowane...

Obowiązki i odpowiedzialność nie są zdefiniowane, ponieważ te wyższe poziomy obejmują strategiczne przywództwo i szerszy wpływ organizacyjny, który wykracza poza zakres tej konkretnej umiejętności. Zapoznaj się z esencjonalnymi stwierdzeniami.

Rozwijanie umiejętności i wykazywanie się obowiązkami związanymi z tą umiejętnością

Zdefiniowane poziomy pokazują stopniowy postęp w umiejętnościach i odpowiedzialności.

Tam, gdzie niższe poziomy nie są zdefiniowane...

Możesz rozwijać swoją wiedzę i wspierać innych, którzy są odpowiedzialni w tym obszarze poprzez:

Poznanie kluczowych pojęć i zasad związanych z tą umiejętnością i jej wpływem na Twoją rolę
Wykonywanie powiązanych umiejętności (zobacz powiązane umiejętności SFIA)
Wspieranie innych, którzy wykonują zadania i działania na wyższym poziomie

Tam, gdzie wyższe poziomy nie są zdefiniowane...

Możesz się rozwijać, rozwijając powiązane umiejętności, które są lepiej dostosowane do wyższych poziomów przywództwa organizacyjnego.

Kliknij, aby dowiedzieć się, dlaczego umiejętności SFIA nie są zdefiniowane na wszystkich 7 poziomach.

Pokaż/ukryj dodatkowe opisy i poziomy.

Poziom odpowiedzialności za tę umiejętność

Poziom 1

Poziom 1 – Zgodne postępowanie: Istota poziomu: wykonuje rutynowe zadania pod ścisłym nadzorem, postępuje zgodnie z instrukcjami i wymaga wskazówek, aby ukończyć swoją pracę. Jest w stanie przyswoić i stosować podstawowe umiejętności i wiedzę.

Testy penetracyjne: Poziom 2

Poziom 2 – Pomoc: Istota poziomu: zapewnia pomoc innym, pracuje pod rutynowym nadzorem i wykorzystuje swoją dyskrecję do rozwiązywania rutynowych problemów. Aktywnie uczy się poprzez szkolenia i doświadczenia w miejscu pracy.

Pomaga w zadaniach związanych z testami penetracyjnymi pod rutynowym nadzorem. Wspiera wykonywanie standardowych testów penetracyjnych systemów, sieci i aplikacji. Pomaga w dokumentowaniu i raportowaniu wyników testów, ustaleń i potencjalnych zagrożeń bezpieczeństwa.

Testy penetracyjne: Poziom 3

Poziom 3 – Stosowanie: Istota poziomu: wykonuje zróżnicowane zadania, czasami złożone i nierutynowe, przy użyciu standardowych metod i procedur. Pracuje pod ogólnym kierownictwem, wykazuje się samodzielnością, zarządza własną pracą i dotrzymuje terminów. Proaktywnie rozwija swoje umiejętności i wpływ w miejscu pracy.

Stosuje standardowe podejścia do projektowania i przeprowadzania testów penetracyjnych. Bada i analizuje techniki ataków oraz rekomenduje sposoby obrony przed nimi. Analizuje i tworzy raporty z działań związanych z testami penetracyjnymi, wynikami, problemami i ryzykiem.

Testy penetracyjne: Poziom 4

Poziom 4 – Umożliwianie: Istota poziomu: wykonuje różnorodne złożone działania, pomaga i doradza innym, w razie konieczności deleguje zadania, pracuje samodzielnie pod ogólnym kierownictwem oraz stosuje specjalistyczną wiedzę podczas realizacji celów zespołu.

Wybiera odpowiednie podejścia do testowania, wykorzystując dogłębną analizę techniczną ryzyk i typowych luk w zabezpieczeniach. Tworzy skrypty testowe, materiały i pakiety testowe oraz testuje nowe i istniejące sieci, systemy lub aplikacje. Udziela porad w zakresie testów penetracyjnych, wspierając innych. Rejestruje i analizuje działania i wyniki oraz w razie potrzeby modyfikuje testy. Dostarcza raporty o postępach, anomaliach, ryzyku i problemach związanych z całym projektem.

Testy penetracyjne: Poziom 5

Poziom 5 – Zapewnianie, doradzanie: Istota poziomu: zapewnia autorytatywne wytyczne w swojej dziedzinie i pracuje w ramach ogólnych wytycznych. Odpowiada za dostarczanie istotnych wyników pracy, od analizy przez wykonanie po ocenę.

Planuje i napędza testy penetracyjne w ramach zdefiniowanego obszaru działalności biznesowej. Dostarcza obiektywny wgląd w istnienie luk w zabezpieczeniach, skuteczność zabezpieczeń i kontroli łagodzących. Bierze odpowiedzialność za integralność działań testowych i koordynuje ich wykonanie. Przekazuje autorytatywne porady i wskazówki na temat wszystkich aspektów testów penetracyjnych. Identyfikuje potrzeby i wdraża nowe podejścia do testów penetracyjnych. Przyczynia się do rozwoju standardów testowania bezpieczeństwa.

Testy penetracyjne: Poziom 6

Poziom 6 – Inicjowanie, wpływ: Istota poziomu: ma znaczący wpływ na organizację, podejmuje decyzje wysokiego szczebla, opracowuje zasady, demonstruje przywództwo, promuje współpracę organizacyjną i przyjmuje na siebie odpowiedzialność w kluczowych obszarach.

Określa politykę testów penetracyjnych i jest właścicielem procesów wspierających. Zarządza wszystkimi działaniami związanymi z testami penetracyjnymi w organizacji. Ocenia i doradza w zakresie praktyczności testowania alternatywnych procesów. Ustanawia zdolność do ciągłego doskonalenia i wynalazczości w zakresie testów penetracyjnych oraz prowadzi wdrażanie nowych podejść. Ocenia możliwości dostawców w zakresie rozwoju i testowania. Zarządza relacjami z klientami w zakresie testów penetracyjnych.

Poziom 7

Poziom 7 – Wyznaczanie strategii, inspirowanie, mobilizowanie: Istota poziomu: działa na najwyższym szczeblu organizacyjnym, określa ogólną wizję i strategię organizacyjną oraz przyjmuje odpowiedzialność za ogólny sukces.