web-dev-qa-db-ja.com

ペネトレーションテスト-信頼と雇用

誰か/企業を雇って入社する場合、システムをバックドアする不正な従業員がいないことをどのように確認できますか?誰かを信頼できる方法はありますか?大企業はどのようにそれを行いますか?非常に多くの可能性のある開口部があるため、誰かが不正になる可能性が非常に高いようです。

自分でそれを行うことを検討するのが最善ですか?信頼関係を築くために自分のチームを雇っていますか?

基本的に、システムとネットワークをハッキングテストする法的権利を誰かに与える場合、どのような手順を踏む必要がありますか?

linuxwindowsauditsecurity
6
Tiffany Walker

それをするために大企業の1つにお金を払ってください-それはそのようなことが起こるのを防ぐことはありませんが、そうすることによってある程度の保護を得ることができます。

7
Chopper3

Basically, what steps should be taken when giving someone legal rights to hack-test your systems and network?

あなたの顧問弁護士に、彼らが取得したデータで何か怪しげなことをした場合に、請負業者の生殖器官を取り除く契約を作成してもらいます。
このような契約には通常、作業成果物条項、機密保持契約、および(請負業者を保護するために)侵入テストが許可されており、停止/データ損失が発生する可能性があるという会社による承認が含まれます。

それを超えて、あなたが個人を雇っているなら、身元調査は良いスタートです。
ペネトレーションテストの分野の人々を知っている場合は、いつでも友達(おそらく信頼できる人)を雇うことができます。そうでない場合は、Chopper3のような大企業を雇うことは常に選択肢です(ただし、これらの企業の多くは雇うことに注意してください) 「改革されたブラックハット」は、スキルを持った人々だからです)。

4
voretaq7

会社の重要なサービスを提供している会社を評価するのとほぼ同じ方法で、弁護士、会計士、監査人、用務員などに同じ質問をすることができます。選択プロセスの一部には、参照チェック(従業員の犯罪チェックを含む)を含める必要があります。 )そして適切なレベルの保証と保険が実施されていることの確認。 D&B(信用調査)はまた、ビジネスがどれほど確立されているかについての感覚を与えます。最後に、あなたの会社とあなたのペンテスターの間の契約の性質は、条件と罰則を定義することができます。これらすべてを考慮しても、ビジネスに適切な種類の保険が適切なレベルであることを確認することが重要です。これはまさに、COOとCFOが理解することになっている種類のことです。

4
rnxrx

ペネトレーションテスターを雇う場合:

  • 彼らの資格と評判を確認してください
  • 参照を取得する
  • 現在のステータスを確認してください。彼らはバラバラになっていますか、そして彼らは愚かなことをしますか?

ここに 侵入テスターを雇うためのガイド。楽しい。

1
citruspi