.

I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

<<

Animus

Newbie
Newbie

Posts: 2

Joined: Mon Jun 28, 2010 1:32 am

Post Mon Jun 28, 2010 2:13 am

I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

I'm curious...  ???
When a client hires my consulting firm to complete a project, there are a few pieces of collateral that I have grown to expect...

  • Project Plan (and associated collateral)
  • Process Guide
  • Process Documentation (usually in UML/XML/BPMN 1.2, etc... though it really depends...)
  • Project Notes (including interviews with SMEs, entrance/exit interviews, Post Implementation Reviews, etc...)

So when my buddy's company hires an "Ethical Hacker" to do a security assessment, I'm expecting:

  • a list of vulnerabilities (itemized and ranked by priority and criticality/impact)
  • the means to exploit them (exploit code location/repository)
  • those that were exploited (identified by a unique identifier, like a MAC, IP, name, anything really...)
  • those that were not exploited and the reasons why (like it'd bring down X service, etc...)

What I was not expecting was a Word document showing what they scanned and the "possible" risks. With nothing towards remediation... "It's not in the scope of the pen-test. [...] We make recommendations, and they make the changes..."

Wha? ???

  • Is there some "standard" penetration methodology or process out there?
  • I'm sure, if it's like any other industry - there's tons of "standards" out there... But which ones are the "biggies" and how would one know if someone did a good job?
  • Are there firms that "audit" the pen-testing companies?

I'm thinking there has to be some way to address the age-old question:
"Quis custodiet ipsos custodes?" - Who will watch the watchmen?
<<

dynamik

Recruiters
Recruiters

Posts: 1134

Joined: Sun Nov 09, 2008 11:00 am

Location: Mile High City

Post Mon Jun 28, 2010 8:30 am

Re: I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

Some places simply do garbage work. We're often complimented on the detail that goes into our pen tests and vulnerability assessments reports. When I'm writing a report, I explain what the vulnerability is, what the risks are, how it was exploited (or how it was attempted to be exploited), what information/access was obtained, and how to remediate it.

You should review the SoW (statement-of-work) and the contract to make sure expectations are clear, and both parties are on the same page. You should also ask to see sample deliverables.
The day you stop learning is the day you start becoming obsolete.
<<

sil

User avatar

Hero Member
Hero Member

Posts: 551

Joined: Thu Mar 20, 2008 8:01 am

Location: ::1

Post Mon Jun 28, 2010 9:09 am

Re: I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

    Animus wrote:
    • Is there some "standard" penetration methodology or process out there?
    • I'm sure, if it's like any other industry - there's tons of "standards" out there... But which ones are the "biggies" and how would one know if someone did a good job?
    • Are there firms that "audit" the pen-testing companies?


There are two well known "pentesting" frameworks. ISSAF (http://www.oissg.org/downloads/issaf-0.2/index.php) and OSSTMM (http://www.isecom.org/osstmm/). Without getting too much into politics, I wouldn't bother with ISSAF since it hasn't been taken serious since 2006 which is a long time for new things to "happen." OSSTMM provides the most information for getting the job done correctly however, it has never really taken off here in the United States.

As for remediation, most companies clarify differences in their SOW's. Some companies steer clear of offering "fixes" for the sake of remaining unbiased in their findings. Some companies offer both a remedy and a cure however, companies that do so run the risk of being viewed as having an agenda. For example, if I told you "I can reach SMB ports, there is a potential for an attack... I can fix it for you for ..." How would you react versus: "It's possible to reach SMB ports" At that point it is at your discretion to act upon it. Validate SMB is vulnerable or go about "business as usual." In the former: "... i can fix it for you" there is a connotation of "slick willie talk" if you ask me.

Anyhow, I'd suggest learning OSSTMM, NSA IAM/IEM methodologies and incorporation them into your own framework. I usually use those to frameworks in a mesh of my own little mess to create my own framework of testing, responses, reporting.
<<

dynamik

Recruiters
Recruiters

Posts: 1134

Joined: Sun Nov 09, 2008 11:00 am

Location: Mile High City

Post Mon Jun 28, 2010 10:05 am

Re: I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

Just to be clear, we don't offer remediation for that very reason (remaining unbiased, especially when it comes to IT audits). However, we do make recommendations to give our clients direction for remediation.

For example, in the case of unrestricted zone transfers, I'd inform them that they should limit zone transfers to only the hosts that require them, or disable them entirely if they are not necessary. I don't provide step-by-step instructions for BIND or whatever DNS server they're using, nor do I make the configuration myself. I just try to give them a little push in the right direction.
The day you stop learning is the day you start becoming obsolete.
<<

Animus

Newbie
Newbie

Posts: 2

Joined: Mon Jun 28, 2010 1:32 am

Post Mon Jun 28, 2010 2:18 pm

Re: I gotta know...."Quis custodiet ipsos custodes?" Are there standards?

I'm not exactly expecting people to have some kind of information on a step-by-step remediation... I just want someone to tell me the means of addressing a security vulnerability and some suggestions on how to address it...

Point form, like this:

  • Vulnerability identified
  • Exploit possible/not possible
  • Risk to company
  • Possible means of addressing risk
  • etc....

I'll take a look at those methodologies and see if there is something in there in the form of some kind of Visio or process diagram. Also, if you could point me to some form of "Checks and Balances" or other "caveats" towards a pen-test... I would be very grateful....

Cheers,
Animus  ;)
<<

DarrenOppof

User avatar

Full Member
Full Member

Posts: 100

Joined: Mon Nov 14, 2016 3:59 am

Post Thu Apr 20, 2017 6:49 am

как выглядит вагина после родов фото

Хитро улыбнувшись, я пошёл к шкафчику и достал смазку, оба тюбика. »-мычал он себе в такт, еле внятно, тяжело дыша. Тут я почувствовал, что кровь приливает к щекам и волосы на голове встают дыбом – до меня дошло, какой "душ" он имеет в виду! – не отступал я. в дверь позвонили так неожиданно, что все вздрогнули – это приперлась наша бабушка, девочка торопливо натянула трусики, а мы, пошушукавшись с Дашей, решили доделать начатое в парке. Я почувствовала, как член Сергея начал набухать внутри меня и я поняла, что он сейчас будет кончать, он вышел из меня, держа одной рукой свое орудие, а другой резко повернул меня, мы со Светкой оказались сидящими перед ним почти голова к голове, смотря на то как он рукой помогает себе кончить, и в этот момент струя теплой спермы вырвалась из головки члена и каплями начала покрывать наши лица, попадая на губы, на шею, я открыла рот и несколько капель попало мне на язык, вкус был очень необычно приятный, Светка поцеловала меня в губы, потом засунула мне в рот свой язык, мы так сидели, и целовались, лаская себя руками, размазывали Серегину сперму по нашим молодым и упругим телам. Пора было уже идти. Низ живота сильно ныл, а он входил всё глубже, забыв обо всём. Мягкие светлые волосы небрежно спадали на ее нежные, белые плечи, карие глазки метались во всех направлениях, пытаясь изучить комнату вкоторой ей суждено будет потерять то, что она хранила так долго, оберегая от случайной потери. Мне нужен секс, ты это знаешь. Честно, я не знал, что делать дальше, я просто собезьянничал и стал расстегивать свои штаны, которые скрывали огромные, по колени, семейные трусы, море-то было по колено, на нем же под джинсами были кокетливые узенькие плавочки. Она сказала: "Это твой шанс раскрепоститься, и я собираюсь посмотреть, как это у тебя получится". – Я хочу посмотреть, не мал ли он для тебя и достаточно ли он упругий. На вызов идешь – как минимум два аппарата прихватываешь. А сейчас шагом марш в душ! Славик качнул бедрами вперед и его член легко проскользнул мне в рот. Через нее вы сможете видеть, что происходит снаружи и, при необходимости стрелять. Не удивительно, если принять во внимание, что в течение нескольких дней никого не мог поиметь. Она начала сосать сильнее и сильнее, я начал чувствовать приближение оргазма он она резко остановилась. И понял, что без пещер мне не жить.
солдаты смотреть порно видео онлайн
хента й аниме остсос
смотреть онлайн красивое порно бесплатно на официальном сайте
порно писающие подглядывание видео
снять шлюху тлт

http://www.ais-logics.be/simplemachines ... le;u=25390
http://www.airtool.com/__media__/js/net ... enner.info
http://www.airtimeaviation.com/aircraft ... nner.info/
http://www.airsystemimpianti.com/incent ... wm5ntjmnzz
http://www.airstreamsa.com/__media__/js ... enner.info
http://www.airshow.net/__media__/js/net ... enner.info
http://www.airpowerincorporated.com/__m ... enner.info
http://www.airport-transport.co.uk/ardguest.php
http://www.airpln.com/blog/sample-page
http://www.airlinereservationsonline.co ... enner.info
http://www.airlakeairport.org/__media__ ... enner.info
http://www.airhitch.com/__media__/js/ne ... enner.info
http://www.airforums.com/forums/misc.ph ... enner.info
http://www.airfaresflights.co.nz/centra ... nner.info/
http://www.aireuro.net/__media__/js/net ... enner.info
http://www.airesh.ru/freend.php?link=ht ... nner.info/
http://www.aireloft.com/__media__/js/ne ... enner.info
http://www.airebag.com/plus/guestbook.php
http://www.aircraftownergroup.com/__med ... enner.info
http://www.aircal.com/__media__/js/nets ... enner.info
http://www.airbarcelona.com/__media__/j ... enner.info
http://www.air1.com/redir.asp?href=http ... nner.info/
http://www.air.it/modules.php?name=Your ... TimothyLan
http://www.aioseo.de/redirect.php?url=h ... nner.info/
http://www.aio-multimedia.co.uk/audio/
<<

DarrenOppof

User avatar

Full Member
Full Member

Posts: 100

Joined: Mon Nov 14, 2016 3:59 am

Post Thu Apr 20, 2017 6:51 am

втроем на одну попку

Она быстро шла впереди, обидевшись за мою резкость дома. »-она обвила меня своими руками, прижала к себе и мы од-новременно впали в судорожный экстаз, целуя и лаская друг друга Но я уже знал, что со мной Лили. Мила оторвалась от своего занятия и дрожащим голосом сказала... Елена в кухне готовила ужин, одетая в длинный сиреневый прозрачный пеньюар и короткую ночную рубашку. Она свои вонючие трусы в кастрюлю, где детям кашу варят, положила! Месть всё ещё пpодолжала жить в его сознании. По ощущениям его член был давольно внушительным (как потом выяснилось я не ошиблась). Однако у нее появились новые фантазии. , – он замолчал. Я набрал в ладони масло и стал медленно массировать ему спину. Лиманов был на важной встрече, отключил "мобильник". Кажется, он даже не успел закрыть дверь, но это его не волновало. Как показали дальнейшие события, прорыв этот хоть и произошёл, но только не так далеко, как у настоящих "голубых" друзей, – на это понадобился ещё почти целый год, в течение которого я готовил себя и своего любимого Вадюшу к превращению его в мою любимую девочку. Он быстро воткнул новую кассету, приглушил звук и включил на магнитоле одну из тех радиостанций, которые целыми сутками гоняли музыку. Мог ли я знать сегодня утром, что через каких-то несколько часов мы с Леной будем столь близки? Прежде всего, у него были другие женщины. "Тяжелая женская доля", – подумалось мне... Стояли последние жаркие августовские дни. За то, что изменил тебе первым, обидел, стал невнимательным или чужим? Я старалась не отвечать.
художник ht1 3d lolicon pack
член в горле у подруги
ретро порно ролики мамаш
сучки поряться
смотреть пизды баб

http://ignou.net/__media__/js/netsoltra ... enner.info
http://ignitionstrategies.com/__media__ ... enner.info
http://ignitioninstitute.com/__media__/ ... enner.info
http://igiveabuck.org/__media__/js/nets ... nner.info/
http://igakubu-navi.com/redir.php?u=htt ... nner.info/
http://ifufren.com/link.php?url=http:// ... nner.info/
http://ifuckinghatetheacademyofartcolle ... enner.info
http://ifthenthemusical.com/redirect/Br ... nner.info/
http://ifsspecialmarkets.com/__media__/ ... enner.info
http://ifsea.org/__media__/js/netsoltra ... enner.info
http://iflypaws.com/__media__/js/netsol ... enner.info
http://ifinancialguide.com/__media__/js ... enner.info
http://ifail.org/?document_srl=8263589
http://ifa.camads.net/dif/?cid=imad-cha ... 00&mute8=0
http://iezup.com/__media__/js/netsoltra ... enner.info
http://iexit.com/__media__/js/netsoltra ... enner.info
http://ielmini.com/__media__/js/netsolt ... enner.info
http://ieeexplore.info/__media__/js/net ... nner.info&
http://ieeetravelonline.info/__media__/ ... enner.info
http://iedint.com/__media__/js/netsoltr ... enner.info
http://ieclothing.net/__media__/js/nets ... enner.info
http://idwhois.info/geschenkefuermaenner.info
http://idps.info/__media__/js/netsoltra ... enner.info
http://idontlove.com/__media__/js/netso ... enner.info
http://idiving.eu/en/node/2717/track

Return to Compliance, Regulations &amp; Standards

Who is online

Users browsing this forum: No registered users and 0 guests

.
Powered by phpBB® Forum Software © phpBB Group.
Designed by ST Software