Instruções para cada Pentest

Cada Ativo é único. O que você quer que seus pentesters saibam sobre isso?

Você pode ter requisitos e preocupações únicas sobre ativos em uso na produção.

Você já compartilhou detalhes sobre seu ativo, incluindo sua arquitetura. Além dos padrões, você deve compartilhar quaisquer preocupações especiais sobre o ativo. A lista de verificação a seguir inclui exemplos para ajudá-lo a decidir o que compartilhar com seus pentesters. Embora não seja obrigatório incluir esses detalhes, incentivamos você a incluir preocupações que afetem seus sistemas de produção.

  • Destaque áreas que requerem atenção especial, como:

    • Lançamentos recentes

    • Funcionalidades específicas

  • Vulnerabilidades que você está preocupado(a)

    • Seja específico(a).

  • Inclua números CVE (ou equivalentes), se disponíveis.

    • Requisitos para acessar o ambiente-alvo: Por exemplo, se você está procurando um teste na rede interna, inclua instruções sobre como acessar o Jump Box nessa rede.

  • Preocupações de produção. Se você estiver configurando um teste em sistemas de produção, compartilhe detalhes que possam afetar sua rede.

  • Assuntos fora do escopo. Destaque quaisquer recursos ou fluxos de trabalho que estejam fora do escopo deste teste.

    • Nós desestimulamos listas "fora do escopo".

Nota:

Os testes de Negação de Serviço (DoS), por padrão, estão fora do escopo. Se permitido pelo padrão ou regulamentação desejada, você pode solicitar explicitamente os testes de DoS.

Proceda para a próxima etapa, a Tecnologia Stack.

Last updated