Documentazione<Precedenti | Contenuti | Succ.>
11.2.2. Test di penetrazione di conformità
Il prossimo tipo di valutazione in ordine di complessità è un test di penetrazione basato sulla conformità. Questi sono i test di penetrazione più comuni in quanto sono requisiti imposti dal governo e dal settore basati su un framework di conformità in cui opera l'intera organizzazione.
Sebbene esistano molti framework di conformità specifici del settore, il più comune sarebbe probabilmente lo standard di sicurezza dei dati del settore delle carte di pagamento16 (PCI DSS), una struttura dettata dalle società di carte di pagamento a cui devono conformarsi i rivenditori che elaborano pagamenti basati su carta. Tuttavia, esistono una serie di altri standard come le Guide all'implementazione tecnica della sicurezza della Defense Information Systems Agency17 (DISA STIG), Programma federale di gestione dei rischi e delle autorizzazioni18 (FedRAMP), Legge federale sulla gestione della sicurezza delle informazioni19 (FISMA), e altri. In alcuni casi, un cliente aziendale può richiedere una valutazione, o chiedere di vedere i risultati della valutazione più recente per vari motivi. Che siano ad hoc o su mandato, questo tipo di valutazioni sono collettive
13http://tools.kali.org/tools-listing 14 http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
chiamati test di penetrazione basati sulla conformità, o semplicemente “valutazioni di conformità” o “controlli di conformità”.
Un test di conformità spesso inizia con una valutazione della vulnerabilità. In caso di audit di conformità PCI20, una valutazione della vulnerabilità, se eseguita correttamente, può soddisfare diversi requisiti di base, tra cui: “2. Non utilizzare le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza" (ad esempio, con gli strumenti del Attacchi con password categoria di menu), “11. Testare regolarmente i sistemi e i processi di sicurezza” (con gli strumenti del Valutazione del database categoria) e altri. Alcuni requisiti, come “9. Limitare l'accesso fisico ai dati dei titolari di carta” e “12. Mantenere una politica che si occupi della sicurezza delle informazioni per tutto il personale” non sembra prestarsi alla tradizionale valutazione della vulnerabilità basata su strumenti e richiede creatività e test aggiuntivi.
Nonostante il fatto che potrebbe non sembrare semplice utilizzare Kali Linux per alcuni elementi di un test di conformità, il fatto è che Kali si adatta perfettamente a questo ambiente, non solo per l'ampia gamma di strumenti relativi alla sicurezza, ma a causa dell'ambiente Debian open source su cui è costruito, consentendo l'installazione di una vasta gamma di strumenti. La ricerca nel gestore pacchetti con parole chiave scelte con cura da qualsiasi framework di conformità si stia utilizzando è quasi certo di ottenere più risultati. Allo stato attuale, molte organizzazioni utilizzano Kali Linux come piattaforma standard per questo tipo esatto di valutazioni.