Re: Inutilita' Penetration Test

On Thu, Jul 26, 2001 at 02:33:27PM +0200, Fabio Pietrosanti (naif) wrote:
> Non c'e' da discutere sul fatto che una analisi effettuata dall'interno,
[snip]
> Allora, perche' si continuano a vendere i penetration test visti i suoi costi?
> Solo per il fascino che ha la "sfida" di chi considera la propria rete sicura e vuole

Il mio (humble) parere: l'operazione di sedersi a fianco del
responsabile dei sistemi informativi e' una cosa che e' buona
e giusta, nel momento in cui si desidera fare alla ditta una
consulenza per quelli che sono gli aspetti della security.
E' un'operazione se vuoi ancora piu' costosa, che coinvolge
molte persone sia da un lato che dall'altro, alterando 
eventualmente processi azientali, procedure e, a volte, anche
l'hardware e/o il software impiegato in azienda.

Il pen-test invece e' utile proprio perche' lo fai da remoto,
impersonando l'entita' interessata ad accedere a dati
che non dovrebbe poter avere, e ottenendo informazioni
sulla rete bersaglio.

La mia idea in proposito e', se vuoi, ancora piu' radicale:
il pen-test non dovresti farlo solo da remoto, ma anche in
locale :)
Mi spiego: la security e' un processo, e come tale abbraccia
tutte le parti della realta' aziendale. Quindi il pen-test
da remoto puo' (e secondo me dovrebbe) includere trash-diving,
divise da omino delle pulizie, e forse anche baffi finti :)))

Non dico che questa parte debba curarla una azienda che faccia
sicurezza informatica, perche' non e' di questo che si
tratta, pero' non ha senso avere una rete sicura con tutte
le porte aperte e prese di rete nei corridoi. E questo e'
un aspetto che mi pare venga spesso considerato poco.

my 0.02E,
-- 
'Why do you close your eyes?' 'So that the room will be empty.'
zen@kill-9.it . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List