Z jakiej lokalizacji wykonywać?

Po przeczytaniu dowiesz się

• Jaka jest optymalna metoda wykonywania testów bezpieczeństwa - ze względu na lokalizację, z której przeprowadza się testy.

• Jaką metodę najlepiej zastosować symulując ataki na serwis w Internecie.
  

Wstęp

Dobór lokalizacji, z której wykonywane są testy powinien maksymalnie odzwierciedlać realne źródło, które jest źródłem największego zagrożenia. Biorąc pod uwagę lokalizację z której wykonywane są testy, wyróżniamy dwie główne metody:

• Zdalnie (z Internetu).
  
• Lokalnie (z sieci lokalnej). 

Zdalnie

Skrótowy opis metody

• Testy wykonywane są zdalnie – bezpośrednio poprzez Internet - z siedziby Wykonawcy.

• Aby w trakcie testów do aplikacji mieli dostęp tylko testerzy, niekiedy stosowane są dodatkowe ograniczenia w dostępie (np. ograniczenie adresu źródłowego IP, z którego może być wykonany test).
  

Zalety metody

• Dla aplikacji dostępnej w Internecie, możliwa jest symulacja realnego ataku odbywającego się z sieci Internet.

• Niski stopień angażowania pracowników Klienta.

• Niższe koszty w porównaniu z kolejną metodą - "w siedzibie Klienta".

Wady metody

• Część prac nie może być wykonana tego typu testami (np. aplikacja dostępna tylko wgłębi LAN Klienta).

W siedzibie Klienta

Skrótowy opis metody

• Testy wykonywane są w siedzibie Klienta – testerzy podłączają się do sieci Klienta komputerami przenośnymi.

• Testy wykonywane są z komputerów przenośnych testerów.

Zalety metody

• Często możliwa jest bardzo szybka komunikacja pomiędzy testerami, a osobami odpowiedzialnymi za testowana aplikację po stronie Klienta.

• Brak konieczności udostępniania aplikacji poprzez Internet.

Wady metody

• Większy stopień angażowania pracowników Klienta niż w przypadku metody zdalnej.

• Nieoptymalna metoda w przypadku aplikacji, która docelowo ma znajdować się w Internecie.

• Wyższe koszty niż w przypadku metody zdalnej.

Połączenie obydwu metod

Skrótowy opis metody

• Prace wykonywane są w podziale na dwie wspomniane wcześniej metody: zdalnie oraz w siedzibie Klienta.

• Odpowiednie proporcje pomiędzy metodami dobierane są optymalnie – na podstawie konkretnej, testowanej aplikacji.

Zalety metody

• Łączy najlepsze strony oby wyżej wskazanych metod (zdalnej i "na miejscu"), jednocześnie minimalizując wady.

• W wielu przypadkach to metoda jest optymalna czasowo oraz kosztowo.

Wady metody

• W pewnych przypadkach nie może być zastosowana (wymagane są tylko testy zewnętrzne albo tylko testy wewnętrzne).

Podsumowanie

• Dla aplikacji udostępnionych w Internecie, optymalną metodą testów jest metoda zdalna.
• Dla aplikacji udostępnianych w sieci lokalnej oraz dla wybranych testów infrastruktury optymalną metodą jest wykonanie testów w siedzibie Klienta.
• Dla większych systemów i kompleksowych testów stosuje się obie metody - dobrane w odpowiednich proporcjach.
  

Więcej informacji

• Dlaczego warto wykonywać testy bezpieczeństwa.
• Co dostarczamy po przeprowadzeniu testów bezpieczeństwa.
  
• Na jakim etapie wdrażania systemu najlepiej wykonywać test bezpieczeństwa.
• W jaki sposób można wykonywać testy bezpieczeństwa (metodologia).
• Kto wykonuje testy w ramach oferty Securitum.

• Oferta testów bezpieczeństwa.