¿Cómo calificar una tarea de “Prueba de penetración y piratería ética”?

1

Digamos que contrato a una persona para "Pruebas de penetración y piratería ética". Él intentará romper la seguridad de mi sistema / sitio web.

Digamos que la persona contratada no tiene éxito en la invasión del sistema.

Obviamente, no soy un experto en seguridad, así que, ¿cómo puedo saber si:

  1. ¡Mi sistema es muy seguro! ¡El "experto en seguridad" no puede invadirlo!
  2. El "experto en seguridad" no es lo suficientemente bueno como para invadirlo ...
pregunta Click Ok 17.12.2016 - 20:10
fuente

1 respuesta

1

Cuando contrata a un consultor de seguridad / probador de penetración para realizar una evaluación de su postura de seguridad para una evaluación de Mejores prácticas de seguridad, debe recibir un informe al final de la prueba de penetración. Esta es una gran parte del trabajo. Además, existen escáneres automáticos que puede usar contra su red o aplicación web que le brindarán una visión general de alto nivel sobre la postura general de la red.

Cuando reciba el informe del evaluador, generalmente contendrá un Resumen Ejecutivo, que pretende proporcionar un informe general sobre la postura de su seguridad sin profundizar en los detalles técnicos.

Muchas veces, y para numerosas vulnerabilidades, el probador podrá confirmar la presencia de la vulnerabilidad, aunque puede que no sea una vulnerabilidad que les permita obtener la ejecución remota de código. RCE (o "entrar") es solo una parte de una gran variedad de explotación de vulnerabilidades.

    
respondido por el Henry F 17.12.2016 - 23:27
fuente

Lea otras preguntas en las etiquetas