Introduction to ScopeDefining scope is arguably one of the most import dịch - Introduction to ScopeDefining scope is arguably one of the most import Việt làm thế nào để nói

Introduction to ScopeDefining scope

Introduction to Scope
Defining scope is arguably one of the most important components of a penetration test, yet it is also one of the most overlooked. While many volumes have been written about the different tools and techniques which can be utilized to gain access to a network, very little has been written on the topic which precedes the penetration: preparation. Neglecting to properly complete pre­engagement activities has the potential to open the penetration tester (or his firm) to a number of headaches including scope creep, unsatisfied customers, and even legal troubles. The scope of a project specifically defines what is to be tested. How each aspect of the test will be conducted will be covered in the Rules of Engagement section. One key component of scoping an engagement is outlining how the testers should spend their time. As an example, a customer requests that one hundred IP addresses be tested for the price of $100,000. This means that the customer is offering $1,000 per IP address tested. However, this cost structure only remains effective at that volume. A common trap some testers fall into is maintaining linear costs throughout the testing process. If the customer had only asked for one business­critical application to be tested at the same pricing structure ($1,000), while the tester will still be only attacking a single IP, the volume of work has increased dramatically. It is important to vary costs based on work done. Otherwise a firm can easily find themselves undercharging for their services, which motivates them to do a less than complete job. Despite having a solid pricing structure, the process is not all black and white. It is not uncommon for a client to be completely unaware of exactly what it is they need tested. It is also possible the client will not know how to communicate effectively what they’re expecting from the test. It is important in the Pre­Engagement phase that the tester is able to serve as a guide through what may be uncharted territory for a customer. The tester must understand the difference between a test which focuses on a single application with severe intensity and a test where the client provides a wide range of IP addresses to test and the goal is to simply find a way in. Metrics for Time Estimation
10/19/2016 Pre-engagement - The Penetration Testing Execution Standard
http://www.pentest-standard.org/index.php/Pre-engagement 3/14
Time estimations are directly tied to the experience of a tester in a certain area. If a tester has significant experience in a certain test, he will likely innately be able to determine how long a test will take. If the tester has less experience in the area, re­reading emails and scan logs from previous similar tests the firm has done is a great way to estimate the time requirement for the current engagement. Once the time to test is determined, it is a prudent practice to add 20% to the time. The extra 20% on the back end of the time value is called padding. Outside of consultant circles, this is also referred to as consultant overhead. The padding is an absolute necessity for any test. It provides a cushion should any interruptions occur in the testing. There are many events which commonly occur and hinder the testing process. For example, a network segment may go down, or a significant vulnerability may be found which requires many meetings with many levels of management to address. Both of these events are time consuming and would significantly impact the original time estimate if the padding was not in place. What happens if the 20% padding ends up not being necessary? Billing the client for time not worked would be extremely unethical, so it is up to the testers to provide additional value that may not normally have been provided if the engagement time limit had been hit. Examples include walking the company security team through the steps taken to exploit the vulnerability, provide an executive summary if it was not part of the original deliverable list, or spend some additional time trying to crack a vulnerability that was elusive during the initial testing. Another component of the metrics of time and testing is that every project needs to have a definitive drop dead date. All good projects have a well­defined beginning and end. You will need to have a signed statement of work specifying the work and the hours required if you’ve reached the specific date the testing is to end, or if any additional testing or work is requested of you after that date. Some testers have a difficult time doing this because they feel they are being too much of a pain when it comes to cost and hours. However, it has been the experience of the author that if you provide exceptional value for the main test the customer will not balk at paying you for additional work. Scoping Meeting
In many cases the scoping meeting will occur after the contract has been signed. Situations do occur wherein many of the scope­related topics can be discussed before
0/5000
Từ: -
Sang: -
Kết quả (Việt) 1: [Sao chép]
Sao chép!
Giới thiệu về phạm viXác định phạm vi là cho là một trong những thành phần quan trọng nhất của một thử nghiệm xâm nhập, nhưng nó cũng là một trong những bị bỏ qua. Trong khi nhiều khối lượng đã được viết về các công cụ khác nhau và các kỹ thuật mà có thể được sử dụng để truy cập vào một mạng lưới, rất ít đã được viết về chủ đề mà đến trước sự xâm nhập: chuẩn bị. Bỏ qua để đúng cách hoàn thành các hoạt động preengagement có khả năng mở rộng thâm nhập tester (hoặc công ty của ông) cho một số nhức đầu bao gồm cả phạm vi leo, khách hàng không hài lòng, và rắc rối pháp lý thậm chí. Phạm vi của một dự án cụ thể xác định những gì là để được kiểm tra. Làm thế nào mỗi khía cạnh của các bài kiểm tra sẽ được tiến hành sẽ được bảo hiểm trong phần quy tắc của trận chiến. Một trong những yếu tố then chốt trong phạm vi một cam kết phác thảo làm thế nào các thử nghiệm nên dành thời gian của họ. Ví dụ, một khách hàng yêu cầu 100 địa chỉ IP được kiểm tra cho giá $100.000. Điều này có nghĩa rằng khách hàng cung cấp cho $1.000 cho mỗi địa chỉ IP được thử nghiệm. Tuy nhiên, cấu trúc chi phí này chỉ còn lại có hiệu quả tại khối lượng đó. Một cái bẫy phổ biến, thử nghiệm một số rơi vào là duy trì các tuyến tính chi phí trong suốt quá trình thử nghiệm. Nếu khách hàng đã yêu cầu chỉ cho một ứng dụng businesscritical để được kiểm tra tại cùng một cơ cấu giá ($1.000), trong khi tester sẽ vẫn chỉ tấn công một IP duy nhất, khối lượng công việc đã tăng lên đáng kể. Nó là quan trọng để thay đổi chi phí dựa trên việc thực hiện. Nếu một công ty có thể dễ dàng tìm thấy chính mình undercharging cho dịch vụ của họ, mà thúc đẩy họ làm chưa hoàn thành công việc. Mặc dù có một cấu trúc vững chắc giá, quá trình này không phải là tất cả màu đen và trắng. Nó không phải là phổ biến cho các khách hàng sẽ hoàn toàn không biết gì về chính xác những gì nó là họ cần phải thử nghiệm. Nó cũng có thể là khách hàng sẽ không biết làm thế nào để giao tiếp một cách hiệu quả những gì họ đang hy vọng từ các thử nghiệm. Nó là quan trọng trong giai đoạn PreEngagement tester có thể phục vụ như một hướng dẫn thông qua những gì có thể là các lãnh thổ uncharted cho một khách hàng. Thử nghiệm phải hiểu sự khác biệt giữa một bài kiểm tra mà tập trung vào một ứng dụng duy nhất với cường độ nặng và một bài kiểm tra mà khách hàng cung cấp một phạm vi rộng IP địa chỉ để kiểm tra và mục tiêu là để chỉ đơn giản là tìm một cách. Số liệu để tính toán thời gian19-10-2016 cam kết trước-thâm nhập thử nghiệm thực hiện tiêu chuẩnhttp://www.pentest-Standard.org/index.php/Pre-Engagement 3/14Thời gian estimations được gắn trực tiếp trong một khu vực nhất định để trải nghiệm một thử. Nếu một tester có kinh nghiệm trong một số thử nghiệm, ông sẽ có khả năng innately có thể xác định bao lâu một bài kiểm tra sẽ mất. Nếu tester có ít kinh nghiệm trong khu vực, rereading email và quét các bản ghi từ thử nghiệm tương tự trước đó, công ty đã thực hiện là một cách tuyệt vời để ước tính yêu cầu thời gian cho các cam kết hiện nay. Khi thời gian để kiểm tra được xác định, nó là một thực hành thận trọng để thêm 20% thời gian. Thêm 20% ngày kết thúc trở lại giá trị thời gian ở đây được gọi là padding. Bên ngoài của vòng tròn tư vấn, đây cũng được gọi là chi phí tư vấn. The padding là một điều cần thiết tuyệt đối cho bất kỳ bài kiểm tra. Nó cung cấp một đệm nên gián đoạn bất kỳ xảy ra trong các thử nghiệm. Có rất nhiều sự kiện mà thường xảy ra và gây cản trở quá trình thử nghiệm. Ví dụ, một phân đoạn mạng có thể đi xuống, hoặc một lỗ hổng quan trọng có thể được tìm thấy mà đòi hỏi nhiều cuộc gặp gỡ với nhiều cấp độ quản lý địa chỉ. Cả hai của những sự kiện này là tốn thời gian và sẽ tác động đáng kể ước lượng thời gian ban đầu nếu đệm không được ở vị trí. Điều gì sẽ xảy ra nếu padding 20% kết thúc không phải là cần thiết? Thanh toán khách hàng trong thời gian không làm việc sẽ cực kỳ phi đạo Đức, do đó, nó là đến các thử nghiệm để cung cấp bổ sung các giá trị có thể không bình thường đã được cung cấp nếu giới hạn thời gian tham gia bị đánh trúng. Ví dụ bao gồm đi bộ đội bảo vệ của công ty thông qua các bước thực hiện để khai thác lỗ hổng bảo mật, cung cấp một điều hành tóm tắt nếu nó không phải là một phần của danh sách deliverable gốc, hoặc chi tiêu một số thời gian bổ sung để crack một lỗ hổng được khó nắm bắt trong thời gian thử nghiệm ban đầu. Một thành phần của các số liệu về thời gian và thử nghiệm là rằng mỗi dự án cần phải có một ngày cuối cùng thả chết. Tất cả các dự án tốt có một welldefined bắt đầu và kết thúc. Bạn sẽ cần phải có một tuyên bố đã ký công việc xác định các công việc và giờ yêu cầu nếu bạn đã đạt đến ngày cụ thể, các thử nghiệm là để kết thúc, hoặc nếu bất kỳ thử nghiệm bổ sung hoặc công việc yêu cầu của bạn sau đó. Một số xét nghiệm có một thời gian khó khăn làm điều này vì họ cảm thấy họ đang được quá nhiều của một nỗi đau khi nói đến chi phí và giờ. Tuy nhiên, nó đã là kinh nghiệm của tác giả rằng nếu bạn cung cấp giá trị đặc biệt cho các thử nghiệm chính khách hàng sẽ không balk ở trả tiền bạn cho công việc bổ sung. Phạm vi họpTrong nhiều trường hợp cuộc họp khối sẽ xuất hiện sau khi hợp đồng đã được ký. Tình huống xảy ra trong đó nhiều người trong số các chủ đề scoperelated có thể được thảo luận trước khi
đang được dịch, vui lòng đợi..
 
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.

Copyright ©2024 I Love Translation. All reserved.

E-mail: