Testes de intrusão PENT

Testes da eficácia dos controles de segurança, emulando as ferramentas e técnicas de prováveis invasores.

Notas orientativas

O teste de intrusão pode ser uma atividade independente ou um aspecto dos testes de aceitação antes de uma aprovação para operação.

As atividades incluem, mas não estão limitadas a:

hacking ético - uso das mesmas ferramentas e técnicas que seriam utilizadas por um adversário para explorar falhas de segurança
demonstração de como um adversário pode subverter metas de segurança ou atingir objetivos específicos
avaliação da eficácia das defesas atuais/planejadas ou controles mitigatórios
garantia da segurança de redes, sistemas e aplicativos
avaliação das forças e da eficácia das implementações criptográficas
identificação de insights sobre os riscos que as vulnerabilidades trazem ao negócio
testes de vulnerabilidades em rede, infraestrutura, e em aplicativos web e mobile
verificação de configurações e níveis de correções (patches)
Engenharia social.

Compreendendo os níveis de responsabilidade desta habilidade

Onde níveis inferiores não são definidos...

Tarefas e responsabilidades específicas não são definidas porque a habilidade requer um nível mais alto de autonomia, influência e complexidade na tomada de decisões do que é normalmente esperado nesses níveis. Você pode usar as declarações de essência para entender as responsabilidades genéricas associadas a esses níveis.

Onde níveis mais altos não são definidos...

Responsabilidades e accountability não são definidas porque esses níveis mais altos envolvem liderança estratégica e influência organizacional mais ampla que vai além do escopo dessa habilidade específica. Veja as declarações de essência.

Desenvolver habilidades e demonstrar responsabilidades relacionadas a essa habilidade

Os níveis definidos mostram a progressão incremental em habilidades e responsabilidades.

Onde níveis inferiores não são definidos...

Você pode desenvolver seu conhecimento e apoiar outras pessoas que têm responsabilidades nesta área:

Aprender conceitos e princípios-chave relacionados a essa habilidade e seu impacto em sua função
Executar habilidades relacionadas (veja as habilidades SFIA relacionadas)
Apoiar outras pessoas que estão realizando tarefas e atividades de nível superior

Onde níveis mais altos não são definidos...

Você pode progredir desenvolvendo habilidades relacionadas que são mais adequadas a níveis mais altos de liderança organizacional.

Clique para saber por que as habilidades SFIA não são definidas em todos os 7 níveis.

Mostrar/ocultar descrições e níveis extras.

Níveis de responsabilidade para esta habilidade

Nível 1

Nível 1 - Segue: Essência do nível: Executa tarefas de rotina sob supervisão rigorosa, segue instruções e precisa de orientação para concluir seu trabalho. Aprende e aplica habilidades e conhecimentos básicos.

Testes de intrusão: Nível 2

Nível 2 - Auxilia: Essência do nível: Presta assistência a outras pessoas, trabalha sob supervisão rotineira e usa critérios próprios para resolver problemas rotineiros. Aprende ativamente por meio de treinamento e experiências no trabalho.

Auxilia em tarefas de testes de intrusão sob supervisão rotineira.

Suporta a execução de testes de penetração padronizados em sistemas, redes e aplicações.

Auxilia a documentar e reportar resultados de testes, descobertas e potenciais riscos de segurança.

Testes de intrusão: Nível 3

Nível 3 - Aplica: Essência do nível: Executa tarefas variadas, às vezes complexas e não rotineiras, usando métodos e procedimentos padrão. Trabalha sob direção geral, possui alguma liberdade e gerencia seu próprio trabalho dentro dos prazos. Aprimora proativamente as habilidades e o impacto no local de trabalho.

Segue abordagens padronizadas para planejamento e execução de atividades de testes de intrusão.

Pesquisa e investiga técnicas de ataque e recomenda formas de defesa contra elas.

Analisa e elabora relatórios sobre as atividades, resultados, problemas e riscos dos testes de intrusão.

Testes de intrusão: Nível 4

Nível 4 - Possibilita: Essência do nível: Realiza diversas atividades complexas, apoia e orienta outras pessoas, delega tarefas quando apropriado, trabalha de forma autônoma sob orientação geral e contribui com conhecimentos especializados para atingir os objetivos da equipe.

Determina a abordagem de testes apropriada usando uma análise técnica aprofundada de riscos e vulnerabilidades típicas.

Produz scripts, materiais e pacotes de testes e efetua testes em redes, sistemas ou aplicativos novos e existentes. Registra e analisa as ações e resultados e modifica os testes, se necessário.

Fornece relatórios sobre o progresso, anomalias, riscos e problemas associados ao projeto geral.

Informa sobre testes de intrusão para oferecer suporte contra outros riscos.

Testes de intrusão: Nível 5

Nível 5 - Garante, aconselha: Essência do nível: Fornece orientação autorizada em seu campo e trabalha sob ampla direção. Responsável pela entrega de resultados significativos do trabalho, desde a análise, passando pela execução, até a avaliação.

Planeja e conduz testes de intrusão dentro de uma área definida de atividades de negócios.

Fornece insights objetivos sobre a existência de vulnerabilidades e sobre a eficácia das defesas e controles de mitigação.

Assume a responsabilidade pela integridade das atividades de teste e coordena a execução dessas atividades. Fornece aconselhamento e orientações sobre todos os aspectos de testes de intrusão.

Identifica necessidades e implementa novas abordagens para testes de intrusão. Contribui para os padrões de testes de segurança.

Testes de intrusão: Nível 6

Nível 6 - Inicia, influencia: Essência do nível: tem influência organizacional significativa, toma decisões de alto nível, molda políticas, demonstra liderança, promove a colaboração organizacional e aceita a responsabilidade em áreas-chave.

Determina a política de testes de intrusão e é responsável pelos processos de suporte.

Gerencia todas as atividades de testes de intrusão dentro da organização. Avalia e aconselha sobre a praticidade de alternativas de processo de testes.

Estabelece recursos para melhoria contínua e desenvolvimentos em testes de intrusão e orienta a implementação de novas abordagens.

Avalia as capacidades de desenvolvimento e teste dos fornecedores. Gerencia o relacionamento com o cliente no que diz respeito a testes de intrusão.

Nível 7

Nível 7 - Define estratégia, inspira, mobiliza: Essência do nível: Opera no mais alto nível organizacional, determina a visão e a estratégia organizacional geral e assume a responsabilidade pelo sucesso geral.