Dokumentasi<Sebelumnya | Konten | Selanjutnya>
11.2.2. Uji Penetrasi Kepatuhan
Jenis penilaian berikutnya dalam urutan kompleksitas adalah tes penetrasi berbasis kepatuhan. Ini adalah tes penetrasi yang paling umum karena merupakan persyaratan yang diamanatkan oleh pemerintah dan industri berdasarkan kerangka kepatuhan di mana seluruh organisasi beroperasi.
Meskipun ada banyak kerangka kerja kepatuhan khusus industri, yang paling umum kemungkinan adalah Standar Keamanan Data Industri Kartu Pembayaran16 (PCI DSS), kerangka kerja yang ditentukan oleh perusahaan kartu pembayaran yang harus dipatuhi oleh pengecer yang memproses pembayaran berbasis kartu. Namun, ada sejumlah standar lain seperti Panduan Pelaksanaan Teknis Keamanan Badan Sistem Informasi Pertahanan17 (DISA STIG), Program Manajemen Risiko dan Otorisasi Federal18 (FedRAMP), Undang-Undang Manajemen Keamanan Informasi Federal19 (FISMA), dan lain-lain. Dalam beberapa kasus, klien korporat dapat meminta penilaian, atau meminta untuk melihat hasil penilaian terbaru karena berbagai alasan. Apakah ad-hoc atau diamanatkan, penilaian semacam ini secara kolektif
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
disebut tes penetrasi berbasis kepatuhan, atau hanya "penilaian kepatuhan" atau "pemeriksaan kepatuhan".
Tes kepatuhan sering kali dimulai dengan penilaian kerentanan. Dalam hal audit kepatuhan PCI20, penilaian kerentanan, bila dilakukan dengan benar, dapat memenuhi beberapa persyaratan dasar, termasuk: “2. Jangan gunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya” (misalnya, dengan alat dari Serangan Kata Sandi kategori menu), “11. Uji sistem dan proses keamanan secara teratur” (dengan alat dari Penilaian Database kategori) dan lain-lain. Beberapa persyaratan, seperti “9. Batasi akses fisik ke data pemegang kartu” dan “12. Pertahankan kebijakan yang menangani keamanan informasi untuk semua personel” tampaknya tidak sesuai dengan penilaian kerentanan berbasis alat tradisional dan memerlukan kreativitas dan pengujian tambahan.
Terlepas dari kenyataan bahwa tampaknya tidak mudah untuk menggunakan Kali Linux untuk beberapa elemen uji kepatuhan, faktanya Kali sangat cocok di lingkungan ini, bukan hanya karena berbagai alat yang terkait dengan keamanan, tetapi karena lingkungan Debian open-source tempat ia dibangun, memungkinkan untuk instalasi berbagai macam alat. Mencari manajer paket dengan kata kunci yang dipilih dengan cermat dari kerangka kepatuhan mana pun yang Anda gunakan hampir pasti akan menghasilkan banyak hasil. Seperti berdiri, banyak organisasi menggunakan Kali Linux sebagai platform standar untuk jenis penilaian yang tepat ini.