Dokumentasi<Sebelumnya | Konten | Selanjutnya>
11.3. Formalisasi Penilaian
Dengan lingkungan Kali Anda siap dan jenis penilaian ditentukan, Anda hampir siap untuk mulai bekerja. Langkah terakhir Anda adalah memformalkan pekerjaan yang harus dilakukan. Ini sangat penting, karena hal ini menentukan ekspektasi pekerjaan nantinya, dan memberi Anda izin untuk melakukan apa yang mungkin merupakan aktivitas ilegal. Kami akan membahas ini pada tingkat tinggi, tetapi ini adalah langkah yang sangat kompleks dan penting sehingga Anda mungkin ingin menghubungi perwakilan hukum organisasi Anda untuk mendapatkan bantuan.
Sebagai bagian dari proses formalisasi, Anda perlu menentukan aturan keterlibatan untuk pekerjaan tersebut. Ini mencakup item seperti:
• Sistem apa yang Anda izinkan untuk berinteraksi? Penting untuk memastikan Anda tidak secara tidak sengaja mengganggu apa pun yang penting bagi operasi bisnis.
• Jam berapa dalam sehari dan pada jendela serangan apa penilaian diperbolehkan terjadi? Beberapa organisasi suka membatasi waktu pekerjaan penilaian dapat dilakukan.
• Ketika Anda menemukan kerentanan potensial, apakah Anda diizinkan untuk mengeksploitasinya? Jika tidak, bagaimana proses persetujuannya? Ada beberapa organisasi yang mengambil pendekatan yang sangat terkontrol untuk setiap upaya eksploitasi, sedangkan yang lain menginginkan pendekatan yang lebih realistis. Yang terbaik adalah mendefinisikan harapan ini dengan jelas sebelum pekerjaan dimulai.
• Jika masalah signifikan ditemukan, bagaimana cara menanganinya? Kadang-kadang, organisasi ingin segera diinformasikan, jika tidak, biasanya dibahas di akhir penilaian.
• Dalam keadaan darurat, siapa yang harus Anda hubungi? Itu selalu penting untuk mengetahui siapa yang harus dihubungi ketika masalah apapun terjadi.
• Siapa yang akan mengetahui tentang kegiatan tersebut? Bagaimana hal itu akan dikomunikasikan kepada mereka? Dalam beberapa kasus, organisasi ingin menguji respons insiden dan kinerja deteksi mereka sebagai bagian dari penilaian. Itu selalu merupakan ide yang baik untuk mengetahui ini sebelumnya, jadi Anda tahu apakah Anda harus mengambil tingkat sembunyi-sembunyi dalam pendekatan penilaian.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• Apa harapan di akhir penilaian? Bagaimana hasil akan dikomunikasikan? Ketahui apa yang diharapkan semua pihak di akhir penilaian. Mendefinisikan kiriman adalah cara terbaik untuk membuat semua orang senang setelah pekerjaan selesai.
Meskipun tidak lengkap, daftar ini memberi Anda gambaran tentang detail yang harus dicakup. Namun, Anda harus menyadari bahwa tidak ada pengganti untuk perwakilan hukum yang baik. Setelah item-item ini ditentukan, Anda perlu memperoleh otorisasi yang tepat untuk melakukan penilaian, karena sebagian besar aktivitas yang akan Anda lakukan selama penilaian mungkin tidak sah tanpa otoritas yang tepat dari seseorang yang memiliki otoritas untuk memberikan izin tersebut.
Dengan semua itu, masih ada satu langkah terakhir yang ingin Anda ambil sebelum mulai bekerja: validasi. Jangan pernah memercayai cakupan yang Anda berikan—selalu validasi. Gunakan beberapa sumber informasi untuk mengonfirmasi bahwa sistem dalam ruang lingkup sebenarnya dimiliki oleh klien dan dioperasikan oleh klien juga. Dengan prevalensi layanan cloud, organisasi mungkin lupa bahwa mereka sebenarnya tidak memiliki sistem yang menyediakan layanan tersebut. Anda mungkin harus mendapatkan izin khusus dari penyedia layanan cloud sebelum mulai bekerja. Selain itu, selalu validasi blok alamat IP. Jangan mengandalkan asumsi organisasi bahwa mereka memiliki seluruh blok IP, bahkan jika mereka menandatanganinya sebagai target yang layak. Sebagai contoh, kita telah melihat contoh organisasi yang meminta penilaian seluruh rentang jaringan kelas C padahal, kenyataannya, mereka hanya memiliki sebagian dari alamat tersebut. Dengan menyerang seluruh ruang alamat kelas C, kita akan berakhir dengan menyerang tetangga jaringan organisasi. NS Analisis OSINT subkategori dari Pengumpulan Informasi menu berisi sejumlah alat yang dapat membantu Anda dengan proses validasi ini.