dokumentasi<Sebelum | Contents [show] | Seterusnya>
11.2.2. Ujian Penembusan Pematuhan
Jenis penilaian seterusnya mengikut urutan kerumitan ialah ujian penembusan berasaskan pematuhan. Ini adalah ujian penembusan yang paling biasa kerana ia adalah keperluan mandat kerajaan dan industri berdasarkan rangka kerja pematuhan seluruh organisasi beroperasi di bawahnya.
Walaupun terdapat banyak rangka kerja pematuhan khusus industri, yang paling biasa mungkin ialah Piawaian Keselamatan Data Industri Kad Pembayaran16 (PCI DSS), rangka kerja yang ditentukan oleh syarikat kad pembayaran yang mesti dipatuhi oleh peruncit yang memproses pembayaran berasaskan kad. Walau bagaimanapun, beberapa piawaian lain wujud seperti Panduan Pelaksanaan Teknikal Keselamatan Agensi Sistem Maklumat Pertahanan17 (DISA STIG), Program Pengurusan Risiko dan Kebenaran Persekutuan18 (FedRAMP), Akta Pengurusan Keselamatan Maklumat Persekutuan19 (FISMA), dan lain-lain. Dalam sesetengah kes, pelanggan korporat boleh meminta penilaian, atau meminta untuk melihat keputusan penilaian terkini atas pelbagai sebab. Sama ada ad-hoc atau mandat, penilaian sebegini adalah secara kolektif
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
dipanggil ujian penembusan berasaskan pematuhan, atau hanya "penilaian pematuhan" atau "pemeriksaan pematuhan".
Ujian pematuhan selalunya bermula dengan penilaian kerentanan. Dalam kes pengauditan pematuhan PCI20, penilaian kelemahan, apabila dilakukan dengan betul, boleh memenuhi beberapa keperluan asas, termasuk: “2. Jangan gunakan lalai yang dibekalkan vendor untuk kata laluan sistem dan parameter keselamatan lain” (contohnya, dengan alatan daripada Serangan Kata Laluan kategori menu), “11. Uji sistem dan proses keselamatan secara kerap” (dengan alatan daripada Penilaian Pangkalan Data kucing- egory) dan lain-lain. Beberapa keperluan, seperti “9. Hadkan akses fizikal kepada data pemegang kad” dan “12. Kekalkan dasar yang menangani keselamatan maklumat untuk semua kakitangan” nampaknya tidak meminjamkan diri mereka kepada penilaian kelemahan berasaskan alat tradisional dan memerlukan kreativiti dan ujian tambahan.
Walaupun pada hakikatnya nampaknya tidak mudah untuk menggunakan Kali Linux untuk beberapa elemen ujian pematuhan, hakikatnya Kali sangat sesuai dalam persekitaran ini, bukan hanya kerana pelbagai alat berkaitan keselamatan, tetapi kerana persekitaran Debian sumber terbuka ia dibina di atasnya, membolehkan pemasangan pelbagai alatan. Mencari pengurus pakej dengan kata kunci yang dipilih dengan teliti daripada mana-mana rangka kerja pematuhan yang anda gunakan hampir pasti akan menghasilkan berbilang hasil. Seperti sedia ada, banyak organisasi menggunakan Kali Linux sebagai platform standard untuk jenis penilaian yang tepat ini.