¿Cómo puedo medir la efectividad de una prueba de penetración llevada a cabo en un entorno de nube (IaaS / PaaS) por un proveedor tercero? ¿Debo solicitar un puntaje de CVSS o algo más?
Cualquier consejo será muy apreciado.
TL; DR : debe recibir un informe del evaluador de penetración que evaluará la seguridad de los sistemas que está ejecutando; por lo general, usarán una puntuación CVSS para juzgar qué tan vulnerable es algo. .
Si ha tenido un examen de prueba profesional, idealmente producirán un informe sobre los problemas que encontraron, cómo los explotaron y, por supuesto, qué tan críticos son esos problemas. Esto se suele hacer con una puntuación CVSS ya que es una buena manera de medir qué tan malas son las vulnerabilidades.
El Sistema de puntuación de vulnerabilidad común (CVSS) es un estándar de la industria libre y abierto para evaluar la gravedad de las vulnerabilidades de seguridad del sistema informático. CVSS intenta asignar puntajes de severidad a las vulnerabilidades, permitiendo a los respondedores priorizar las respuestas y los recursos de acuerdo con la amenaza. - Wikipedia
Así que, en resumen, sí, idealmente deberían darte puntuaciones de CVSS, también deberías recibir su informe que detallará sus hallazgos y podrás averiguar cómo solucionarlo. Obviamente, se requiere algo de sentido común, el pen-tester solo puede evaluar lo que sabe; como todos los seres humanos, pueden estar equivocados, así que al leer su informe, asegúrese de que todo tenga sentido & usted puede evaluar la seguridad usted mismo (hasta cierto punto) obviamente, el pen-tester está más capacitado que usted para identificar vulnerabilidades, así que no intente adivinar todo lo que le han dicho, solo asegúrese de que tenga sentido.
Como todo, mucho de esto depende de tu modelo de amenaza si eres una empresa pequeña y supones que no te van a golpear los Estados-nación y él señala un error en una suite de cifrado que estás ejecutando lo que solo un estado-nación podría atacar (y usted sabe que costará demasiado arreglarlo), entonces tal vez sea mejor que realice una evaluación de riesgo interna al respecto. El hecho de que hayan producido un informe no significa que usted no pueda producir el suyo propio e identificar los riesgos usted mismo, de hecho, lo alentaría. No tiene sentido para una empresa parchear todo (si no pueden permitírselo) solo tenga en cuenta el nivel de experiencia de los examinadores de bolígrafos.
En esencia, todo se reduce a Análisis de riesgos
Lea otras preguntas en las etiquetas penetration-test cloud-computing cvss