Concetti Chiave
Target Scoping
- Definisce gli obiettivi e l’ambito del processo di penetration testing
- Risponde alle seguenti domande relative a tale processo:
- Cosa sarà valutato?
- Come avverrà la valutazione?
- Quali risorse saranno allocate?
- Quali limitazioni saranno applicate?
- Quali obiettivi di business saranno garantiti?
- Come verrà pianificato e schedulato il processo?
Fasi del Target Scoping
- Raccolta dei requisiti del cliente: Accumulare quante più informazioni possibili sull’asset da analizzare
- Attraverso comunicazioni verbali o scritte con il cliente
- Preparazione del Test Plan
- Modellazione dei requisiti del cliente per farli confluire in un processo di penetration testing strutturato
- Accordi legali, analisi dei costi, allocazione delle risorse
- Definizione dei confini del test: Determinare le limitazioni a cui deve essere soggetto il processo di penetration testing
- Limitazioni tecnologiche, di conoscenza, vincoli formali imposti sull’asset del cliente
- Definizione degli obiettivi di business: Allineare la Business View del cliente (o dell’organizzazione) con gli obiettivi tecnici del programma di penetration testing
- Gestione e pianificazione del progetto: Fornire una tempistica adeguata per ciascuna fase del processo di penetration testing
Raccolta dei Requisiti del Cliente
Linee Guida
- Questa fase fornisce generiche linee guida per ricavare dal cliente informazioni sull’asset da analizzare
- Di solito è realizzata attraverso un questionario (Modulo dei Requisiti)
- Un cliente può essere un qualsiasi soggetto legalmente o commercialmente legato all’organizzazione che ha commissionato l’analisi dell’asset
- Prima di avviare il processo di penetration testing è fondamentale:
- Identificare tutte le parti interessate (interne ed esterne all’organizzazione)
- Analizzare i loro livelli di interesse, aspettativa, importanza ed influenza
- Andrebbero definiti:
- Una strategia che tenga in considerazione le esigenze di tutte le parti coinvolte
- Un canale di comunicazione verso ciascuna parte per ottenere eventuali informazioni
- Obiettivi:
- Massimizzare gli effetti positivi del penetration testing
- Mitigare i potenziali impatti negativi
- Dopo che i requisiti sono stati raccolti, devono essere validati dal cliente per rimuovere informazioni fuorvianti, ambigue o non consone
- Ciò garantirà che il Test Plan derivante dai requisiti raccolti sia coerente, completo e consistente con le richieste del cliente
Modulo dei Requisiti