渗透测试 - 测试人员
存在保护组织最关键数据的问题;因此,渗透测试人员的作用非常关键,一个小错误就可能使双方(测试人员及其客户)面临风险。
因此,本章讨论渗透测试员的各个方面,包括他的资格、经验和职责。
渗透测试人员资质
该测试只能由合格的渗透测试人员进行;因此,渗透测试人员的资质非常重要。
合格的内部专家或合格的外部专家都可以执行渗透测试,直到他们在组织上独立。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如,如果第三方公司参与目标系统的安装、维护或支持,则该方无法执行渗透测试。
以下是一些在致电渗透测试人员时为您提供帮助的指南。
认证
经过认证的人员可以执行渗透测试。测试人员持有的认证表明了他作为渗透测试人员的技能和能力。
以下是渗透测试认证的重要示例 -
认证道德黑客(CEH)。
攻击性安全认证专家 (OSCP)。
CREST 渗透测试认证。
通信电子安全组 (CESG) IT 健康检查服务认证。
全球信息保障认证 (GIAC) 认证,例如 GIAC 认证渗透测试员 (GPEN)、GIAC Web 应用程序渗透测试员 (GWAPT)、高级渗透测试员 (GXPN) 和 GIAC 漏洞研究员。
过去的经历
以下问题将帮助您聘请有效的渗透测试人员 -
渗透测试人员有多少年的经验?
他是一名独立的渗透测试员还是为某个组织工作?
他在多少家公司担任过渗透测试员?
他是否对任何与您的规模和范围相似的组织进行过渗透测试?
渗透测试人员有什么类型的经验?例如进行网络层渗透测试等
您还可以向他工作过的其他客户索取推荐信。
在雇用渗透测试人员时,评估他(测试人员)所工作的组织过去一年的测试经验非常重要,因为这与他在目标环境中专门部署的技术有关。
除上述之外,对于复杂的情况和典型的客户需求,建议评估测试人员在其早期项目中处理类似环境的能力。
渗透测试员的角色
渗透测试员具有以下角色 -
识别工具和技术的低效分配。
跨内部安全系统进行测试。
精确定位暴露以保护最关键的数据。
发现整个基础设施中漏洞和风险的宝贵知识。
报告补救建议并确定其优先级,以确保安全团队以最有效的方式利用时间,同时保护最大的安全漏洞。