Quels sont les différents types de méthodologie de test de pénétration?
Il existe essentiellement deux principaux types de méthodologie de test de pénétration - la norme interne et l'industrie - bien que celles-ci soient un nombre presque illimité de variations. Une méthodologie interne est développée par une entreprise, généralement celle effectuant le test, à utiliser par ses employés. Les méthodologies standard de l'industrie, en revanche, sont celles développées par les principales organisations de sécurité pour une utilisation par d'autres sociétés afin de faire une méthodologie standard qui est universellement reconnue et approuvée. Les deux types de méthodologie de test de pénétration peuvent être efficaces, et le meilleur pour tout test de pénétration particulier dépend généralement de la personne effectuant le test.
Une méthodologie de test de pénétration est une série de règles ou de directives utilisées pour effectuer des tests de pénétration sur un système ou un réseau informatique. Ce type de test est généralement effectué pour déterminer les faiblesses possibles dans un système qui peut être utilisé par les pirates pour lancer une attaque sur TSystème de chapeau. Une fois cette analyse initiale terminée, le testeur lance généralement une attaque simulée contre le système pour déterminer à quel point ces faiblesses sont vulnérables. Une méthodologie de test de pénétration est souvent utilisée pour déterminer comment cette séquence d'évaluation et de test doit être effectuée, et pour fournir aux testeurs des lignes directrices pour documenter la procédure.
L'un des types les plus courants de méthodologie de test de pénétration est une méthodologie interne. Il s'agit d'un document créé par une entreprise à utiliser par ses employés car ils effectuent des tests de pénétration sur un système. Une méthodologie de test de pénétration interne peut être préparée par une entreprise qui a embauché quelqu'un pour effectuer des tests sur son système, ou par une entreprise qui embauche ses services à d'autres entreprises pour les tester. Ce type de méthodologie peut être préféré par certains testeurs, comme le suivant garantit que toute plainte au clientpeut avoir sur les tests peut être contesté en utilisant la méthodologie fournie par le client pour le testeur.
Une méthodologie de test de pénétration standard de l'industrie, en revanche, est un document créé par une société de sécurité informatique à utiliser par d'autres testeurs. Ce type de méthodologie est généralement destiné à être utilisé par des testeurs non employés par l'entreprise qui l'a créé. L'un des avantages de ce type de méthodologie est que les testeurs peuvent plus facilement indiquer une seule méthode unifiée par laquelle ils peuvent apprendre et démontrer leur compétence. Les défauts avec une méthodologie de test de pénétration standard de l'industrie, cependant, sont que les entreprises peuvent ne pas aimer toutes les méthodes qui y sont mises en place, et il peut être difficile de déterminer quelle méthode agit vraiment comme une norme de l'industrie.