Si su empresa se involucra con un pentester de terceros para realizar un análisis de vulnerabilidades, ¿usted
Si está evaluando su red por primera vez, sugeriría que los pentesters tengan acceso completo.
Obtendrá un informe completo que incluirá todas las vulnerabilidades que existen en sus activos.
Esto le proporcionará la comprensión completa para planificar la actualización de la seguridad de su red.
Además, durante un pentest, los probadores intentan una gran cantidad de ataques en un tiempo muy corto. Recuerde que en la práctica, un atacante podría intentar estos ataques lentamente, durante un período de tiempo más largo, y deslizarse por debajo del radar. Para permitir que los evaluadores realicen pruebas eficientes, es esencial incluirlos en una lista blanca.
Depende de tu modelo de amenaza en el mundo real.
Si le teme a la amenaza de los empleados internos, debe otorgarle al Pentestro grandes niveles de acceso, tal vez incluso de administrador de sistemas o acceso general a la red.
Sin embargo, si tienes más miedo a las amenazas de Internet, entonces sería más apropiado un compromiso de caja negra.
Personalmente, me gusta hacer ambas cosas, tal vez alternar cada año.
Lea otras preguntas en las etiquetas penetration-test whitelist vulnerability-scanners