Penetrationstest – Frågor inför test

1 Organisationens uppbyggnad
1.1 Typ av organisation
1.2 Vad sysslar organisationen med
1.3 På vilken eller vilka platser har organisationen verksamhet
1.4 Antal anställda
1.5 Nyckelpersoner
2 Penetrationstest
2.1 Vad är syftet/vad vill organisationen?
2.2 Vem är beställare?
2.3 Vart ska resultatet levereras?
2.3.1 Styrelse
2.3.2 Ledning
2.3.3 Driftorganisation
2.3.4 Annan
2.4 Vad ska levereras?
2.4.1 I vilken form?
2.4.1.1 Sammanfattning till ledningen?
2.4.1.2 Detaljerad information?
Ej uppdaterade system
Öppet delade filer och andra resurser
Information som lagras oskyddad
Etc
2.4.1.3 Åtgärdsförslag
Beskrivning av sårbarhet
Allvarlighetsgrad
Finns färdig attackkod
Vad som behövs för att åtgärda den upptäckta sårbarheten
2.4.1.4 Loggmaterial?
2.5 Vad ska testas?
2.5.1 Fysisk säkerhet
2.5.2 Klientdatorer
2.5.3 Nätverkssäkerhet
2.5.4 Applikationssäkerhet
2.5.5 Databassäkerhet
2.5.6 Social Engineering
2.6 Vad är viktigast för organisationen? /Vad är organisationens guldägg?
2.7 Avgränsningar?
2.7.1 Vilka konsekvenser kan testet få?
2.7.1.1 Destruktiva tester?
ok
inte ok
2.8 Tillgång till befintlig relevant dokumentation
2.8.1 Säkerhetspolicy
2.8.2 Informationsklassificering
2.8.3 Hot- och riskanalys
2.8.4 Systembeskrivning
2.8.5 etc
2.9 När ska penetrationstestet utfäras?
2.10 Varifrån ska testet utföras?
2.10.1 Kundens lokaler?
2.10.1.1 Behövs tillstånd att vistas hos organisationen?
Vem beställer/fixar?
Förhållningsregler?
2.10.1.2 Utpekad
Lokal
Switch
Router
Etc
2.10.1.3 IP-adresser?
Behöver någon hos kunden meddelas om ip-adresserna?
2.10.2 Externt?
2.11 Kontaktpersoner
2.11.1 Krav från kund på att egen personal ingår i teamet som utför penentrationstestet?
2.11.1.1 Varför?
Övervaka testet?
Lära sig/kompetensöverföring?
2.11.2 Kontaktlista
2.11.2.1 Kund
Namn
Funktion
Telefon
Mejl
2.11.2.2 Leverantör
Namn
Funktion
Kontaktperson
Reservkontaktperson
Telefon
Mejl
2.12 Incidenthantering
2.12.1 Upptäcks intrångsförsök under pågående test av kundens organisation
2.12.1.1 Löpande information till teamet som utför penetrationstestet
2.12.2 Vad gäller om något händer?
2.12.2.1 Dubbelkolla ansvar med kunden
Teamet som utför penetrationstestet måste/bör föra loggbok. Förutsättning för att kunna friskriva sig från ansvar.
2.13 Inga ändringar i kundens  IT-miljö får ske under pågående test
2.14 Organisationens IT-miljö
2.14.1 Nätverkskarta
2.14.1.1 Domännamn
2.14.1.2 ip-adressrymder
2.14.1.3 Routrar
Leverantörer
2.14.1.4 Servrar
Webbservrar
apache
version
iis
version
etc
epostservrar
etc
2.14.1.5 Kommunikationsvägar
Internet-anslutningar
Modem
Fristående ADSL-modem
Trådlösa nätverksroutrar
2.14.2 Operativsystem
2.14.2.1 version
2.14.3 Applikationer
2.14.3.1 version
2.14.4 Databaser
2.14.4.1 version
2.14.5 Driftstatistik?
2.14.6 Brandsväggskonfiguration
2.14.7 VPN-konfiiguration
2.15 Organisationens uppbyggnad
2.15.1 Info om anställda och chefer
2.15.1.1 Kontaktuppgifter
Telefonlista?
epostadresser
2.15.1.2 Personaltyper
Systemansvariga
Databas
etc
2.15.1.3 Organisationsplan?
2.15.1.4 Aktiva på
LinkedIn
Twitter
Bloggar
Websidor
2.15.2 Affärspartners
2.15.3 Organisationens historia
2.15.4 Hemliga dokument