Instruções para cada Pentest
Cada Ativo é único. O que você quer que seus pentesters saibam sobre isso?
Você pode ter requisitos e preocupações únicas sobre ativos em uso na produção.
Você já compartilhou detalhes sobre seu ativo, incluindo sua arquitetura. Além dos padrões, você deve compartilhar quaisquer preocupações especiais sobre o ativo. A lista de verificação a seguir inclui exemplos para ajudá-lo a decidir o que compartilhar com seus pentesters. Embora não seja obrigatório incluir esses detalhes, incentivamos você a incluir preocupações que afetem seus sistemas de produção.
Destaque áreas que requerem atenção especial, como:
Lançamentos recentes
Funcionalidades específicas
Vulnerabilidades que você está preocupado(a)
Seja específico(a).
Inclua números CVE (ou equivalentes), se disponíveis.
Requisitos para acessar o ambiente-alvo: Por exemplo, se você está procurando um teste na rede interna, inclua instruções sobre como acessar o Jump Box nessa rede.
Preocupações de produção. Se você estiver configurando um teste em sistemas de produção, compartilhe detalhes que possam afetar sua rede.
Assuntos fora do escopo. Destaque quaisquer recursos ou fluxos de trabalho que estejam fora do escopo deste teste.
Nós desestimulamos listas "fora do escopo".
Nota:
Os testes de Negação de Serviço (DoS), por padrão, estão fora do escopo. Se permitido pelo padrão ou regulamentação desejada, você pode solicitar explicitamente os testes de DoS.
Proceda para a próxima etapa, a Tecnologia Stack.
Last updated