存在保护组织最关键数据的问题;因此,渗透测试仪的作用非常关键,一个小错误可能会使各方(测试人员和他的客户)面临风险.
因此,本章讨论渗透的各个方面测试人员,包括他的资格,经验和责任.
此测试只能由合格的渗透测试人员执行;因此,渗透测试员的资格非常重要.
合格的内部专家或合格的外部专家可以在组织独立之前进行渗透测试.这意味着渗透测试人员必须在组织上独立于目标系统的管理.例如,如果第三方公司参与目标系统的安装,维护或支持,那么该方无法执行渗透测试.
以下是一些可以帮助您的指南在调用渗透测试人员时.
认证人员可以进行渗透测试.测试人员持有的证书表明了他的技能和能力渗透测试员的能力.
以下是渗透测试认证的重要例子 :
认证道德黑客(CEH).
进攻性安全认证专家(OSCP).
CREST渗透测试认证.
通讯电子安全小组(CESG)IT Health检查服务认证.
全球信息保障认证(GIAC)认证,例如,GIAC认证渗透测试仪(GPEN),GIAC Web应用程序渗透测试仪(GWAPT), Advance Penetration Tester(GXPN)和GIAC Exploit Researcher.
以下问题将帮助您聘请有效的渗透测试员 :
多年的经验tration tester有吗?
他是独立渗透测试员还是为组织工作?
他有多少公司作为渗透测试员工作?
他是否对任何与你的公司有相似规模和范围的组织进行了渗透测试?
渗透测试仪有哪些经验?例如,进行网络层渗透测试等
您也可以向其工作的其他客户索取参考资料.
在雇用渗透测试人员时,重要的是要评估他(测试人员)工作的组织过去一年的测试经验,因为它与技术有关由他在目标环境中专门部署.
除上述情况外,对于复杂情况和典型客户要求,建议评估测试人员处理他/她类似环境的能力.早期项目.
渗透测试员具有以下角色 :
确定工具和技术的低效分配.
跨内部安全系统进行测试.
精确定位曝光以保护最重要的数据.
发现整个基础架构中漏洞和风险的宝贵知识.
报告并确定补救建议的优先顺序,以确保安全团队以最有效的方式利用他们的时间,同时保护最大的安全漏洞.