Concetti Chiave

Il Target Scoping

• Definisce gli obiettivi e l’ambito del processo di penetration testing
• Risponde alle seguenti domande relative a tale processo:
  • Cosa sarà valutato?
  • Come avverrà la valutazione?
  • Quali risorse saranno allocate?
  • Quali limitazioni saranno applicate?
  • Quali obiettivi di business saranno garantiti?
  • Come verrà pianificato e schedulato il processo?

Fasi del Target Scoping

1. Raccolta dei requisiti del cliente: accumulare quante più informazioni possibili sull’asset da analizzare
   • Attraverso comunicazioni verbali o scritte con il cliente
2. Preparazione del Test Plan
   • Modellazione dei requisiti del cliente per farli confluire in un processo di penetration testing strutturato
   • Accordi legali, analisi dei costi, allocazione delle risorse
3. Definizione dei confini del test: determinare le limitazioni a cui deve essere soggetto il processo di penetration testing
   • Limitazioni tecnologiche, di conoscenza, vincoli formali imposti sull’asset del cliente
4. Definizione degli obiettivi di business: allineare la Business View del cliente (o dell’organizzazione) con gli obiettivi tecnici del programma di penetration testing
5. Gestione e pianificazione del progetto: fornire una tempistica adeguata per ciascuna fase del processo di penetration testing

Raccolta dei Requisiti del Cliente

Linee Guida

• Questa fase fornisce generiche linee guida per ricavare dal cliente informazioni sull’asset da analizzare.
• Di solito è realizzata attraverso un questionario (Modulo dei Requisiti).
• Un cliente può essere un qualsiasi soggetto legalmente o commercialmente legato all’organizzazione che ha commissionato l’analisi dell’asset.
• Prima di avviare il processo di penetration testing è fondamentale:
  • Identificare tutte le parti interessate (interne ed esterne all’organizzazione, es. eventuali terze parti)
  • Analizzare i loro livelli di interesse, aspettativa, importanza ed influenza
• Andrebbero definiti:
  • Una strategia che tenga in considerazione le esigenze di tutte le parti coinvolte
  • Un «canale» di comunicazione verso ciascuna parte per ottenere eventuali informazioni
• Obiettivi:
  • Massimizzare gli effetti positivi del penetration testing
  • Mitigare i potenziali impatti negativi
• Dopo che i requisiti sono stati raccolti, devono essere validati dal cliente per rimuovere informazioni fuorvianti, ambigue o non consone.