Rules of Engagement (ROE)
Regras de Engajamento (ROE)
O ROE é um documento criado nos estágios iniciais de um trabalho de teste de penetração. Este documento consiste em três seções principais (explicadas na tabela abaixo), que são responsáveis, em última instância, por decidir como o trabalho será realizado. O instituto SANS tem um ótimo exemplo deste documento que você pode visualizar online aqui.
Permissão: Esta seção do documento dá permissão explícita para que o trabalho seja realizado. Esta permissão é essencial para proteger legalmente indivíduos e organizações pelas atividades que realizam.
Escopo do Teste: Esta seção do documento anotará metas específicas às quais o trabalho deverá ser aplicado. Por exemplo, o teste de penetração pode aplicar-se apenas a determinados servidores ou aplicações, mas não a toda a rede.
Regras: A seção de regras definirá exatamente as técnicas permitidas durante o combate. Por exemplo, as regras podem estabelecer especificamente que técnicas como ataques de phishing são proibidas, mas ataques MITM (Man-in-the-Middle) são aceitáveis.
Nenhum comentário:
Postar um comentário