Thursday, June 08, 2006

Answering Penetration Testing Questions


Some of you have written regarding my post on penetration testing. One of you sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following questions, which I thought I should answer here. Please note that penetration testing is not currently a TaoSecurity service offering, so I'm not trying to be controversial in order to attract business.

  • What do you feel is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most efficient way to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of a pen test that is appropriate for a given enterprise? Prior to hiring any pen testers, an enterprise should conduct an asset assessment to identify, classify, and prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information resources. The NSA-IAM includes this process. I would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n task cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen testers with gaining access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive information, as determined by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset assessment. Per my previous goal (Time for a pen testing team of [low/high] skill with [internal/external] access to obtain unauthorized [unstealthy/stealthy] access to a specified asset using [public/custom] tools and [complete/zero] target knowledge.) one must decide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variables before hiring a pen testing team.

  • What do you feel is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most efficient way to determine which pen tester(s) to use? First, you must trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You must have confidence (and legal assurances) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules you set for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, properly handle sensitive information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y collect, and not use information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y collect for non-professional purposes. Second, you must select a team that can meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objectives you set. They should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge and tools necessary to mirror cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat you expect to face. I will write more on this later. Third, I would rely on referrals and check all references a team provides.

  • Do you feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is any significant value in having multiple third parties perform a pen test? This issue reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules requiring changing of financial auditors on a periodic basis. I believe it is a good idea to conduct annual pen tests, with one team in year one and a second team in year two. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least you can have two experiences from which to draw upon when deciding who should return for year three.

  • Have you had any significant positive/negative experiences with specific pen testers? I once monitored a client who hired a "pen tester" to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client's network. One weekend while monitoring this client, I saw someone using a cable modem run Nmap against my client. The next Monday my client wanted to know why I hadn't reported seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "pen test". I told my client I didn't consider a Nmap scan to be a "pen test". I soon learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client had paid something like $5000 for that scan. Buyer beware!

  • Do you have any additional recommendations as to how to choose a pen tester? Just today I came across what looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's "first objective technical grading system for hackers and penetration testers" -- at least according to SensePost. This is really exciting, I think. They describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Combat Grading system this way: Participants are tasked to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flag in a series of exercises carefully designed to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depth and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir skill in various diverse aspects of computer hacking. Around 15 exercises are completed over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of two days, after which each participant is awarded a grade reflecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir scores and relative skill levels in each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas tested. Each exercise is completely technical in nature. This sounds very promising.

  • Do you have any literature that you can recommend in regard to pen
    testing?
    I have a few books nearby, namely Penetration Testing and Network Defense (not read yet) and Hack I.T. (liked it, but 4 years old). The main Hacking Exposed series discusses vulnerability assessment, which gets you halfway through a pen test.


If I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and money I would consider attending SensePost training, which looks very well organized and stratified. They are being offered at Black Hat Training, which as usual seems very expensive. Good, but expensive.

1 comment:

Anonymous said...

Even before considering a pen test, decide what you are going to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. If your organization is not interested in addressing (funding) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues found as a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen test, don't bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with a pen test.

I have seen too many exit meeting pen test reviews where IT management says 'thank you' and tosses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report unwilling to fund closing even some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 holes.

-Russell