[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2001 ml@sikurezza.org Soggetto: R: Inutilita' Penetration Test Mittente: F.V.Gilger Data: 27 Jul 2001 16:56:23 -0000
Ciao Fabrio, bacio le mani... diciami che lavoro in una di queste societa che vende consulenza in Security che vuole rompere la logica di quanto hai descritto. I tests di vulnerabilita hanno non tanto lo scopo di 'garantire' la robustezza dei server prima o dopo un hardening di essi, ma anche e soprattutto di alzare il livello di guardia del Top Management delle aziende (Nota: sappiamo che i Network Administrator conoscono la realta ma non la dicono ai loro manager poiche significa chiedere budget importanti e forse non ricevere l'auto - benefit tanto richiesta...non ridere l'ho vissuto di persona) A parte svegliare la coscienza del'azienda/top management, i tests hanno un ruolo di aggiornamento dei servers(alcuni tools che usiamo, ti danno le patch, i links, articoli etc...e quindi il test diventa fonte di informazioni.Ovviamente, il tool deve essere aggiornato ogni giorno/setimana). Poi scherzi a parte, lavoro che clienti molto grossi e molto noti, e come saprete 80% degli attachi vengono da dentro e solo 20% da fuori. Il 20% esterno risulta in furto di dati minori, defacement e exploit-cazzate...spero di ferire l'orgolgio di nessuno.... L'80% interno invece significa perdita economica secca(furti materiali, dati strategici oi rivenduti) e perdita di competitivita. In questo contesto un audit di sicurezza e vari test di vulnerabilita fatti dall'interno hanno anche un senso. Ovviamente, i tests di vulnerabilita, almeno queli fatti da noi, si fanno seguendo 2 strade: dall'extranet, quindi sul dominio pubblico con attacchi del tipo info gathering, acquisto di login/pwds, e d'altra parte, degli attachi dall'interno che vanno a testare l'hardening dei servers, l'aggiornamento delle config, etc... Vorrei infine aggiungere che in Italia, 120 aziende lavorano nell settore Security a livello misto (consulenza + vendita materiali)..sono tante....Per questo la societa nella quale lavoro ha deciso di non vendere tecnologia (se non in fase di implementazione) e soprattutto di non fare solo testing di vulnerabilita ma di combinare ai pennetration test altri servizi compementari (che non sto a descrivervi :=)) ...) Idem: KOBE, DO NOT CUT ME; PLIZZZ Wandoo ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005