Documentație11.2.2. Testul de penetrare a conformității
Următorul tip de evaluare în ordinea complexității este un test de penetrare bazat pe conformitate. Acestea sunt cele mai comune teste de penetrare, deoarece sunt cerințe impuse de guvern și de industrie, bazate pe un cadru de conformitate în care operează întreaga organizație.
Deși există multe cadre de conformitate specifice industriei, cel mai comun ar fi probabil standardul de securitate a datelor din industria cardurilor de plată16 (PCI DSS), un cadru dictat de companiile de carduri de plată pe care comercianții cu amănuntul care procesează plăți cu carduri trebuie să îl respecte. Cu toate acestea, există o serie de alte standarde, cum ar fi Ghidurile de implementare a tehnicilor de securitate ale Agenției pentru Sisteme Informaționale pentru Apărare.17 (DISA STIG), Programul Federal de Management al Riscului și Autorizării18 (FedRAMP), Legea federală de gestionare a securității informațiilor19 (FISMA) și altele. În unele cazuri, un client corporativ poate solicita o evaluare sau poate cere să vadă rezultatele celei mai recente evaluări din diverse motive. Indiferent dacă sunt ad-hoc sau mandatate, aceste tipuri de evaluări sunt colective
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
numite teste de penetrare bazate pe conformitate sau pur și simplu „evaluări de conformitate” sau „verificări de conformitate”.
Un test de conformitate începe adesea cu o evaluare a vulnerabilității. În cazul auditului de conformitate PCI20, o evaluare a vulnerabilității, atunci când este efectuată corespunzător, poate satisface mai multe dintre cerințele de bază, inclusiv: „2. Nu utilizați valorile implicite furnizate de furnizor pentru parolele de sistem și alți parametri de securitate” (de exemplu, cu instrumente de la Atacuri prin parolă categoria meniului), „11. Testați în mod regulat sistemele și procesele de securitate” (cu instrumente de la Evaluarea bazei de date categorie) și altele. Unele cerințe, cum ar fi „9. Restricționați accesul fizic la datele deținătorului cardului” și „12. Menținerea unei politici care abordează securitatea informațiilor pentru tot personalul” nu par să se preteze pentru evaluarea vulnerabilității bazată pe instrumente tradiționale și necesită creativitate și testare suplimentară.
În ciuda faptului că s-ar putea să nu pară simplu să utilizați Kali Linux pentru unele elemente ale unui test de conformitate, adevărul este că Kali se potrivește perfect în acest mediu, nu doar datorită gamei largi de instrumente legate de securitate, ci și datorită mediului Debian open-source pe care este construit, permițând instalarea unei game largi de instrumente. Căutarea în managerul de pachete cu cuvinte cheie alese cu grijă din orice cadru de conformitate pe care îl utilizați este aproape sigur că va obține mai multe rezultate. În prezent, multe organizații folosesc Kali Linux ca platformă standard pentru aceste tipuri exacte de evaluări.