¿Cuál es la forma más adecuada de notificar / solicitar el permiso de un ISP relacionado con las pruebas de seguridad?

Nunca he pedido permiso por adelantado (que puedo recordar), pero puedo decir que los clientes en muchas ocasiones han reportado direcciones IP bajo mi control para atacarlos.

Por ejemplo:

  

Violación de TOS - Actividad maliciosa

     

Hemos recibido un informe de actividad maliciosa que se originó en una dirección IP asignada a (eliminado). Investigue esta queja y actualice este ticket dentro de las 24 horas para evitar una interrupción en el servicio.

La mayoría de las veces, mis clientes simplemente ignoraron la lista de direcciones IP autorizadas que mencioné que puedo usar durante las pruebas.

En cada ocasión, después de responder a una violación de TOS, el ISP va a verificar con el objetivo que la actividad está autorizada y todo está bien.

Nota: Amazon ahora facilita solicitar permiso por adelantado: enlace (He escuchado a otros hazlo también ahora)

Solía incluir siempre en un requisito contractual que el cliente tenía que obtener la firma del ISP antes de que aceptáramos cualquier prueba remota. Efectivamente, esta fue una carta de "no hacer daño" que explica que el evaluador (nosotros) estaría usando técnicas que podrían verse exactamente como un ataque real. La clave es que el cliente lo solicite, usando nuestra plantilla

Hicimos esto con los ISP en el Reino Unido, EE. UU., Europa y Asia, pero solo para aclarar, la mayoría de estos clientes eran generalmente corporaciones multinacionales con gerentes de relaciones dedicados con el ISP en cada territorio, etc. Para clientes locales más pequeños en Escocia, hicimos lo siguiente. Igual, pero los ISP a menudo también eran locales, por lo que su millaje puede variar si tiene un cliente pequeño y un ISP grande: puede que al ISP no le importe.