Jakie są różne rodzaje metodologii testów penetracyjnych?
Istnieją zasadniczo dwa główne typy metodologii testów penetracyjnych - wewnętrzny i branżowy standard - choć w ich obrębie jest prawie nieograniczona liczba odmian. Metodologia wewnętrzna to metoda opracowana przez firmę, zazwyczaj wykonującą test, do wykorzystania przez jej pracowników. Z drugiej strony, standardowe metodologie branżowe to metody opracowane przez duże organizacje bezpieczeństwa do wykorzystania przez inne firmy w celu opracowania standardowej metodologii, która jest powszechnie uznawana i zatwierdzana. Oba rodzaje metodologii penetracji mogą być skuteczne, a najlepsza dla każdego konkretnego testu penetracji zwykle zależy w dużej mierze od osoby wykonującej test.
Metodologia testów penetracyjnych to szereg zasad lub wytycznych wykorzystywanych do przeprowadzania testów penetracyjnych w systemie komputerowym lub sieci. Ten rodzaj testowania jest zwykle przeprowadzany w celu ustalenia możliwych słabych punktów w systemie, które mogą zostać wykorzystane przez hakerów do przeprowadzenia ataku na ten system. Po zakończeniu wstępnej analizy tester zazwyczaj przeprowadza symulowany atak na system, aby ustalić, na ile podatne są te słabości. Metodologia testów penetracyjnych jest często stosowana w celu ustalenia, w jaki sposób należy przeprowadzić tę sekwencję oceny i testów, oraz w celu zapewnienia testerom wytycznych dotyczących dokumentowania procedury.
Jednym z najczęstszych rodzajów metodologii testów penetracyjnych jest metodologia wewnętrzna. Jest to dokument stworzony przez firmę do użytku jej pracowników podczas przeprowadzania testów penetracyjnych w systemie. Metodologię wewnętrznych testów penetracyjnych może przygotować firma, która zatrudniła kogoś do przeprowadzenia testów w swoim systemie lub firma, która wynajmuje swoje usługi innym firmom, aby je przetestować. Ten rodzaj metodologii może być preferowany przez niektórych testerów, ponieważ przestrzeganie go gwarantuje, że wszelkie skargi klienta dotyczące testowania mogą być kwestionowane przy użyciu metodologii dostarczonej przez klienta dla testera.
Z drugiej strony, standardowa metodologia testów penetracyjnych to dokument stworzony przez firmę zajmującą się bezpieczeństwem komputerowym do użytku przez innych testerów. Tego rodzaju metodologia jest zwykle przeznaczona do użytku przez testerów niezatrudnionych przez firmę, która ją stworzyła. Jedną z zalet tego rodzaju metodologii jest to, że testerzy mogą łatwiej wskazać jedną, zunifikowaną metodę, dzięki której mogą nauczyć się i wykazać swoje kompetencje. Wadami standardowej metodologii testów penetracyjnych jest jednak to, że firmy mogą nie lubić wszystkich metod w niej określonych, a ustalenie, która metoda rzeczywiście działa jako standard branżowy, może być trudne.