IaaS / PaaS環境の侵入テスト-CVSSスコア

TL; DR-実行しているシステムのセキュリティを評価する侵入テスターからのレポートを受け取る必要があります。通常、システムは何かがどれほど脆弱かを判断するためのCVSSスコア。

あなたがプロの侵入テストを受けた場合、彼らは理想的には彼らが見つけた問題、彼らが問題をどのように利用したか、そしてもちろんそれらの問題がどれほど重要であるかについてのレポートを作成します。これは通常、CVSSスコアを使用して実行されます。これは、脆弱性の程度を測定するための優れた方法であるためです。

Common Vulnerability Scoring System（CVSS）は、コンピューターシステムのセキュリティ脆弱性の重大度を評価するための無料のオープンな業界標準です。 CVSSは、脆弱性に重大度スコアを割り当てようとします。これにより、レスポンダーは脅威に応じて応答とリソースに優先順位を付けることができます。 -- ウィキペディア

つまり、理想的には、彼らはあなたにCVSSスコアを与えるべきであり、あなたはそれを修正する方法を考え出すことができるという彼らの発見を詳述する彼らのレポートも受け取るべきです。明らかに、ある程度の常識が必要です。侵入テストでは、自分が知っていることしか評価できません。すべての人間と同じように、彼らは間違っている可能性があるので、レポートを読むときは、すべてが理にかなっていることを確認してください。セキュリティを自分で（ある程度）評価できます。明らかに、侵入テストは自分よりも脆弱性を特定する資格があります。次に、彼らがあなたに言ったことをすべて推測し、それが理にかなっていることを確認してください。

すべてのように、これの多くは、あなたが小さな会社であり、あなたが国民国家に襲われることはないと仮定し、あなたが実行している暗号スイートの欠陥を指摘する場合、あなたの脅威モデルに依存します。国民国家が攻撃する可能性があります（そして、修正するにはコストがかかりすぎることを知っています）。その場合は、内部リスク評価を実行するのが最善かもしれません。彼らがレポートを作成したからといって、あなたが自分でレポートを作成してリスクを特定できないという意味ではありません。実際、私はそれを奨励したいと思います。企業がすべてにパッチを適用することは意味がありません（余裕がない場合）。ペネトレーションテストの専門知識のレベルに注意するだけです。

本質的に、それはすべて リスク分析 に帰着します