O principal a meu ver é que muita gente ainda considera um teste de invasão como um teste definitivo de segurança, e não uma parte - pequena, por sinal - de um processo maior de análise de segurança. Considero o teste de invasão um retrato do momento que irá adicionar mais algumas infomações aos gestores de segurança. Além disso vejo três limitações que não podem ser ignoradas:
- Habilidade do consultor. O sucesso do teste está diretamente relacionado com a habilidade e experiencia da pessoa que o executa.
- Qualidade das ferramentas utilizadas. Sejam comerciais ou privadas, boas ferramentas ajudam o consultor a realizar um bom trabalho. No entanto considero um erro apoiar-se completamente em ferramentas. Por melhor que sejam elas não substituem um consultor.
- Tempo. Diferentemente dos hackers "de chapéu negro", que tem todo o tempo do mundo, um consultor terá um determinado número de dias para executar seu trabalho.
Nenhum comentário:
Postar um comentário