11.2.2. ການທົດສອບການເຈາະປະຕິບັດຕາມ
ປະເພດຕໍ່ໄປຂອງການປະເມີນຕາມລໍາດັບຂອງຄວາມສັບສົນແມ່ນການທົດສອບການເຈາະຕາມຄວາມສອດຄ່ອງ. ເຫຼົ່ານີ້ແມ່ນການທົດສອບການເຈາະທີ່ພົບເລື້ອຍທີ່ສຸດຍ້ອນວ່າພວກເຂົາເປັນຂໍ້ກໍານົດຂອງລັດຖະບານ - ແລະອຸດສາຫະກໍາທີ່ກໍານົດໂດຍອີງຕາມກອບການປະຕິບັດຕາມທີ່ອົງການທັງຫມົດດໍາເນີນການພາຍໃຕ້.
ໃນຂະນະທີ່ມີຫຼາຍກອບການປະຕິບັດຕາມສະເພາະອຸດສາຫະກໍາ, ທົ່ວໄປທີ່ສຸດອາດຈະເປັນມາດຕະຖານຄວາມປອດໄພຂໍ້ມູນອຸດສາຫະກໍາບັດການຈ່າຍເງິນ.16 (PCI DSS), ກອບທີ່ກໍານົດໂດຍບໍລິສັດບັດການຈ່າຍເງິນທີ່ຮ້ານຂາຍຍ່ອຍທີ່ດໍາເນີນການຊໍາລະຜ່ານບັດຕ້ອງປະຕິບັດຕາມ. ແນວໃດກໍ່ຕາມ, ມາດຕະຖານອື່ນໆຈຳນວນໜຶ່ງມີຢູ່ ເຊັ່ນ: ຄູ່ມືການຈັດຕັ້ງປະຕິບັດເຕັກນິກຄວາມປອດໄພຂອງອົງການປ້ອງກັນຄວາມສະຫງົບ.17 (DISA STIG), ໂຄງການຄຸ້ມຄອງຄວາມສ່ຽງ ແລະ ການອະນຸຍາດຂອງລັດຖະບານກາງ18 (FedRAMP), ກົດໝາຍວ່າດ້ວຍການຄຸ້ມຄອງຄວາມປອດໄພຂໍ້ມູນຂ່າວສານຂອງລັດຖະບານກາງ19 (FISMA), ແລະອື່ນໆ. ໃນບາງກໍລະນີ, ລູກຄ້າຂອງບໍລິສັດອາດຈະຮ້ອງຂໍໃຫ້ມີການປະເມີນຜົນ, ຫຼືຂໍໃຫ້ເບິ່ງຜົນໄດ້ຮັບຂອງການປະເມີນຜົນຫລ້າສຸດສໍາລັບເຫດຜົນຕ່າງໆ. ບໍ່ວ່າຈະເປັນການສະເພາະ ຫຼືບັງຄັບ, ການປະເມີນປະເພດເຫຼົ່ານີ້ແມ່ນລວມກັນ
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
ເອີ້ນວ່າການທົດສອບການເຈາະຕາມຄວາມສອດຄ່ອງ, ຫຼືພຽງແຕ່ "ການປະເມີນການປະຕິບັດຕາມ" ຫຼື "ການກວດສອບການປະຕິບັດຕາມ".
ການທົດສອບການປະຕິບັດຕາມມັກຈະເລີ່ມຕົ້ນດ້ວຍການປະເມີນຄວາມອ່ອນແອ. ໃນກໍລະນີຂອງການກວດສອບການປະຕິບັດຕາມ PCI20, ການປະເມີນຄວາມອ່ອນແອ, ເມື່ອປະຕິບັດຢ່າງຖືກຕ້ອງ, ສາມາດຕອບສະໜອງຄວາມຕ້ອງການພື້ນຖານຫຼາຍຢ່າງ, ລວມທັງ: “2. ຢ່າໃຊ້ຄ່າເລີ່ມຕົ້ນທີ່ຜູ້ຂາຍສະໜອງໃຫ້ສໍາລັບລະຫັດຜ່ານຂອງລະບົບ ແລະຕົວກໍານົດຄວາມປອດໄພອື່ນໆ” (ຕົວຢ່າງ, ດ້ວຍເຄື່ອງມືຈາກ ການໂຈມຕີລະຫັດຜ່ານ ໝວດເມນູ), “11. ທົດສອບລະບົບຄວາມປອດໄພ ແລະຂະບວນການເປັນປະຈຳ” (ດ້ວຍເຄື່ອງມືຈາກ ການປະເມີນຖານຂໍ້ມູນ cat-egory) ແລະອື່ນໆ. ຂໍ້ກໍານົດບາງຢ່າງເຊັ່ນ: “9. ຈຳກັດການເຂົ້າເຖິງຂໍ້ມູນຜູ້ຖືບັດ” ແລະ “12. ຮັກສານະໂຍບາຍທີ່ແກ້ໄຂຄວາມປອດໄພດ້ານຂໍ້ມູນສໍາລັບບຸກຄະລາກອນທັງໝົດ” ເບິ່ງຄືວ່າບໍ່ຍອມປ່ອຍຕົວໃຫ້ກັບການປະເມີນຄວາມສ່ຽງທີ່ອີງໃສ່ເຄື່ອງມືແບບດັ້ງເດີມ ແລະຕ້ອງການຄວາມຄິດສ້າງສັນ ແລະການທົດສອບເພີ່ມເຕີມ.
ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າມັນອາດຈະບໍ່ກົງໄປກົງມາທີ່ຈະໃຊ້ Kali Linux ສໍາລັບບາງອົງປະກອບຂອງການທົດສອບການປະຕິບັດຕາມ, ຄວາມຈິງທີ່ວ່າ Kali ແມ່ນເຫມາະສົມທີ່ສົມບູນແບບໃນສະພາບແວດລ້ອມນີ້, ບໍ່ພຽງແຕ່ຍ້ອນວ່າເຄື່ອງມືຄວາມປອດໄພທີ່ກວ້າງຂວາງ, ແຕ່. ເນື່ອງຈາກວ່າສະພາບແວດລ້ອມ Debian ເປີດແຫຼ່ງທີ່ມັນຖືກສ້າງຂື້ນ, ອະນຸຍາດໃຫ້ຕິດຕັ້ງເຄື່ອງມືທີ່ຫລາກຫລາຍ. ການຊອກຫາຜູ້ຈັດການຊຸດດ້ວຍຄໍາທີ່ເລືອກຢ່າງລະມັດລະວັງຈາກກອບການປະຕິບັດຕາມໃດກໍ່ຕາມທີ່ທ່ານກໍາລັງໃຊ້ແມ່ນເກືອບແນ່ນອນວ່າຈະເຮັດໃຫ້ຜົນໄດ້ຮັບຫຼາຍ. ຍ້ອນວ່າມັນຢືນຢູ່, ອົງການຈັດຕັ້ງຈໍານວນຫຼາຍໃຊ້ Kali Linux ເປັນເວທີມາດຕະຖານສໍາລັບການປະເມີນປະເພດທີ່ແນ່ນອນເຫຼົ່ານີ້.