Your SlideShare is downloading. ×
Is Penetration Testing Worth It
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Is Penetration Testing Worth It

117
views

Published on

Yes and Nos of Penetration Testing

Yes and Nos of Penetration Testing


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
117
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Vikas Raina©    Security Expert Advisory Council©  Is Penetration testing worth it?       Scope: Come‐on lets be practical and do a real pen test. There are security experts generally who insist penetration testing is essential for network security, and you have no hope of being secure unless you do it regularly. And there are contrarian security experts who tell you penetration testing is a waste of time; you might as well throw your money away. Both of these views are wrong. The reality of penetration testing is more complicated and nuanced.  Penetration testing is a broad term. It might mean breaking into a network to demonstrate you can. It might mean trying to break into a network to document vulnerabilities. It might involve a remote attack, physical penetration of a data center or social engineering attacks. It might use commercial or proprietary vulnerability scanning tools, or rely on skilled white‐hat hackers. It might just evaluate software version numbers and patch levels, and make inferences about vulnerabilities.  Its going to be expensive, and youll get a thick report when the testing is done, Tools and right people play a major role. Becoz management wants to see what’s Bad really to Business. And thats the real problem. You really dont want a thick report documenting all the ways your network is insecure. You dont have the budget to fix them all, so the document will sit around waiting to make someone look bad. Or, even worse, itll be discovered in a breach lawsuit. Do you really want an opposing attorney to ask you to explain why you paid to document the security holes in your network, and then didnt fix them? Probably the safest thing you can do with the report, after you read it, is shred it.  Given enough time and money, a pen test will find vulnerabilities; theres no point in proving it. And if youre not going to fix all the uncovered vulnerabilities, theres no point uncovering them. But there is a way to do penetration testing usefully. For years Ive been saying security consists of protection, detection and response‐‐and you need all three to have good security. Before you can do a good job with any of these, you have to assess your security. And done right, penetration testing is a key component of a security assessment.  I like to restrict penetration testing to the most commonly exploited critical vulnerabilities, like those found on the SANS Top 20 list. If you have any of those vulnerabilities, you really need to fix them.  If you think about it, penetration testing is an odd business. Is there an analogue to it anywhere else in security? Sure, militaries run these exercises all the time, but how about in business? Do we hire burglars to try to break into our warehouses? Do we attempt to commit fraud against ourselves? No, we dont.  Penetration testing has become big business because systems are so complicated and poorly understood. We know about burglars and kidnapping and fraud, but we dont know about computer criminals. We dont know whats dangerous today, and what will be dangerous tomorrow. So we hire penetration testers in the belief they can explain it.  There are two reasons why you might want to conduct a penetration test. One, you want to know whether a certain vulnerability is present because youre going to fix it if it is. And two, you need a big, scary report to persuade your boss to spend more money. If neither is true, Im going to save you a lot of money by giving you this free penetration test: Youre vulnerable.    
  • 2. Vikas Raina©    Security Expert Advisory Council© Moral: Now, go do something useful about it, Like The security team behind Googles mobile platform, Android, has tried to raise its profile among security researchers by appealing for their vigilance in monitoring the platform and do a real check Thanks Vikas Raina Sr Leader and Security Expert  Domain: Corporate Information Security and Digital Forensic Investigation Certf’s : CISSP®, CCSP®,CCNP®, C |EH, ITIL, PRINCE‐2©, DFCA© “Security advice is a daily burden, applied to the whole population, while an upper bound on the benefit is the harm suffered by the fraction that become victims annually. When that fraction is small, designing security advice that is beneficial is very hard.”