dokumentasi<Sebelum | Contents [show] | Seterusnya>
11.3. Memformalkan Penilaian
Dengan persekitaran Kali anda sedia dan jenis penilaian yang ditentukan, anda hampir bersedia untuk mula bekerja. Langkah terakhir anda ialah memformalkan kerja yang perlu dilakukan. Ini amat penting, kerana ini mentakrifkan jangkaan untuk kerja itu dan memberi anda kebenaran untuk menjalankan aktiviti yang mungkin menyalahi undang-undang. Kami akan membincangkan perkara ini pada tahap yang tinggi, tetapi ini merupakan langkah yang sangat kompleks dan penting supaya anda mungkin ingin menyemak dengan wakil undang-undang organisasi anda untuk mendapatkan bantuan.
Sebagai sebahagian daripada proses pemformalan, anda perlu mentakrifkan peraturan penglibatan untuk kerja itu. Ini meliputi perkara seperti:
• Apakah sistem yang anda dibenarkan untuk berinteraksi? Adalah penting untuk memastikan anda tidak secara tidak sengaja mengganggu apa-apa yang penting untuk operasi perniagaan.
• Apakah masa dalam hari dan lebih daripada tetingkap serangan apakah penilaian dibenarkan berlaku? Sesetengah organisasi suka mengehadkan masa kerja penilaian boleh dijalankan.
• Apabila anda menemui potensi kelemahan, adakah anda dibenarkan untuk mengeksploitasinya? Jika tidak, apakah proses kelulusan? Terdapat beberapa organisasi yang mengambil pendekatan yang sangat terkawal untuk setiap percubaan eksploitasi, manakala yang lain menginginkan pendekatan yang lebih realistik. Adalah lebih baik untuk menentukan jangkaan ini dengan jelas sebelum kerja bermula.
• Jika isu penting ditemui, bagaimanakah ia harus dikendalikan? Kadangkala, organisasi ingin dimaklumkan dengan segera, jika tidak, ia biasanya ditangani pada penghujung penilaian.
• Sekiranya berlaku kecemasan, siapa yang perlu anda hubungi? Ia sentiasa penting untuk mengetahui siapa yang perlu dihubungi apabila sebarang masalah berlaku.
• Siapa yang akan tahu tentang aktiviti tersebut? Bagaimanakah ia akan disampaikan kepada mereka? Dalam sesetengah kes, organisasi akan mahu menguji tindak balas insiden dan prestasi pengesanan mereka sebagai sebahagian daripada penilaian. Adalah idea yang baik untuk mengetahui perkara ini terlebih dahulu, jadi anda tahu sama ada anda perlu mengambil sebarang tahap sembunyi-sembunyi dalam pendekatan kepada penilaian.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• Apakah jangkaan pada akhir penilaian? Bagaimanakah keputusan akan disampaikan? Ketahui apa yang semua pihak jangkakan pada akhir penilaian. Menentukan penghantaran adalah cara terbaik untuk memastikan semua orang gembira selepas kerja selesai.
Walaupun tidak lengkap, penyenaraian ini memberi anda idea tentang butiran yang perlu dilindungi. Walau bagaimanapun, anda harus sedar bahawa tiada pengganti untuk perwakilan undang-undang yang baik. Setelah item ini ditakrifkan, anda perlu mendapatkan kebenaran yang sewajarnya untuk melaksanakan penilaian, memandangkan kebanyakan aktiviti yang akan anda lakukan semasa penilaian mungkin tidak sah tanpa kebenaran yang sewajarnya daripada seseorang yang mempunyai kuasa untuk memberikan kebenaran itu.
Dengan semua itu tersedia, masih ada satu langkah terakhir yang anda ingin lakukan sebelum memulakan kerja: pengesahan. Jangan sekali-kali mempercayai skop yang diberikan kepada anda—sentiasa sahkannya. Gunakan pelbagai sumber maklumat untuk mengesahkan bahawa sistem dalam skop sebenarnya dimiliki oleh pelanggan dan ia dikendalikan oleh pelanggan juga. Dengan kelaziman perkhidmatan awan, sesebuah organisasi mungkin terlupa bahawa mereka sebenarnya tidak memiliki sistem yang menyediakan perkhidmatan kepada mereka. Anda mungkin mendapati bahawa anda perlu mendapatkan kebenaran khas daripada pembekal perkhidmatan awan sebelum memulakan kerja. Di samping itu, sentiasa mengesahkan blok alamat IP. Jangan bergantung pada andaian organisasi bahawa mereka memiliki keseluruhan blok IP, walaupun mereka menandatanganinya sebagai sasaran yang berdaya maju. Sebagai contoh, kami telah melihat contoh organisasi yang meminta penilaian keseluruhan rangkaian kelas C apabila, sebenarnya, mereka hanya memiliki subset alamat tersebut. Dengan menyerang seluruh ruang alamat kelas C, kami akhirnya akan menyerang jiran rangkaian organisasi. The Analisis OSINT sub-kategori bagi Pengumpulan maklumat menu mengandungi beberapa alat yang boleh membantu anda dengan proses pengesahan ini.