物理的なペンテストで第三者に対処する方法は？

それは状況と契約に大きく依存します。

通常、物理的なペンテストを実施する評判の良い会社は、多くの状況でペンテスターのための広範なガイドラインを持っています。このような指示に従ってください。そのようなサードパーティが相互作用する可能性のある方法について、大まかな概要を説明します。

地方警察

地方警察は、警察がどこかで扱われるように扱われるべきです。攻撃の許可とは、物理的なペンテストを行うことが法的に許可されていることを意味し、警察を無視する権限を持っていることを意味しません。警察官があなた自身または類似のものを識別するようにあなたに指示した場合、あなたは訴訟に従う必要があります。

実際、あなたがペンテストを実施しているという事実は、警察との対話にはまったく関係ありません。現地の法律に従って警察と対話します。

隣人

隣人とは、あなたが実行しているペンテストとは何の関係もない人々です。ペンテストを実行するためにあなたを雇った会社がそれらに対して権限を持っていないのと同じように、あなたはそれらに対していかなる権限も付与することはできません。

それは彼らが通りの向こう側で庭仕事をしているのを見たり、あなたが彼らからどのような種類の情報を手に入れているのかを見たりしても、彼らと友好的な会話を始めることができないという意味ではありません。しかし、あなたの割り当ての目的のために、彼らはあなたが通りで会う通常の人々と何ら変わりません。繰り返しになりますが、このペンテストへの関与は何も変わりません。

サードパーティのスタッフ

これは、雇用主の一般的な方針でカバーされるか、割り当ての契約で指定されている必要があります。一般に、彼らは顧客の「正規の」従業員と同様に扱われる可能性があります。

たとえば、プリンターを修理するために雇われた男と一緒に境界線の内側を歩くことができれば、なお良いでしょう。

スタッフ以外の人

注意深く踏みます！顧客、ゲスト、患者などをソーシャルエンジニアリングする試みは、非常に迅速にがあなたにとって非常に困難な課題になる可能性があります。これは実際には事前にクライアントと話し合い、明示的に書き留めておく必要があります。

たとえば、病院で患者とやり取りすると、患者とその家族に失礼な思いをさせる可能性があり、それを避けたいとします。

緊急要員

地震の場合、ペンテストは私の心配の中で最も少ないでしょう。緊急要員が現場に現れた場合は、できる限り支援してください。あなたは状況を知りません、そして誰かの命が危険にさらされているかもしれません。ペンテストは明日もいつでもできます。

本当の犯罪者

セキュリティまたは法執行機関に直ちに連絡してください。ヒーローをするのではなく、あなたの仕事をしてください。