Você pode ter requisitos e preocupações únicas sobre ativos em uso na produção.

Você já compartilhou detalhes sobre seu ativo, incluindo sua arquitetura. Além dos padrões, você deve compartilhar quaisquer preocupações especiais sobre o ativo. A lista de verificação a seguir inclui exemplos para ajudá-lo a decidir o que compartilhar com seus pentesters. Embora não seja obrigatório incluir esses detalhes, incentivamos você a incluir preocupações que afetem seus sistemas de produção.

• Destaque áreas que requerem atenção especial, como:

  • Lançamentos recentes

  • Funcionalidades específicas

• Vulnerabilidades que você está preocupado(a)

  • Seja específico(a).

• Inclua números CVE (ou equivalentes), se disponíveis.

  • Requisitos para acessar o ambiente-alvo: Por exemplo, se você está procurando um teste na rede interna, inclua instruções sobre como acessar o Jump Box nessa rede.

• Preocupações de produção. Se você estiver configurando um teste em sistemas de produção, compartilhe detalhes que possam afetar sua rede.

• Assuntos fora do escopo. Destaque quaisquer recursos ou fluxos de trabalho que estejam fora do escopo deste teste.

  • Nós desestimulamos listas "fora do escopo".

Nota:

Os testes de Negação de Serviço (DoS), por padrão, estão fora do escopo. Se permitido pelo padrão ou regulamentação desejada, você pode solicitar explicitamente os testes de DoS.

Proceda para a próxima etapa, a Tecnologia Stack.