¿Cuál es mi entregable? .... La búsqueda puede ser complicada pero en realidad es simple.
A los pentesters les gusta sacar ventaja de las vulnerabilidades de un dispositivo de un entorno corporativo. sin embargo, odian responder a correos electrónicos innecesarios y llamadas telefónicas; tener que perseguir a las personas para obtener detalles para comenzar las pruebas; tener que averiguar con quién hablar cuando las cosas no funcionan; y sobre todo tener que escribir y revisar informes. Su consultora deberá estar diseñada específicamente para ayudar a los pentesters a concentrar su tiempo y esfuerzos en romper cosas y reducir distracciones, así como, tareas innecesarias. Esto ayuda a obtener lo mejor del equipo y a proporcionar mejores resultados para los clientes.
Contar con una metodología y un buen formato que permita administrar sus proyectos de pentesting y contar con la asesoría más allá de los informes automatizados y la biblioteca que tienen por defecto las soluciones.
En ejemplo basado en metodologías podría ser una salida de este tipo.
Metodologías de referencia.
Open Source Security Testing MethodologyManual (OSSTMM).
Free Testing Methodologies.
Pen Testing Execution Standard (PTES).
NIST Special Publication 800—115: Technical Guide to Information Security Testing and Assessment.
Open Web Application Security Project (OWASP) Testing Guide .
Penetration Testing Framework
Comments