- 滲透測試教程
- 滲透測試 - 首頁
- 滲透測試 - 簡介
- 滲透測試 - 方法
- 測試與漏洞評估
- 滲透測試 - 型別
- 手動和自動化
- 滲透測試 - 工具
- 滲透測試 - 基礎設施
- 滲透測試 - 測試人員
- 滲透測試 - 報告編寫
- 滲透測試 - 倫理駭客
- 滲透測試與倫理駭客
- 滲透測試 - 侷限性
- 滲透測試 - 修復
- 滲透測試 - 法律問題
- 滲透測試資源
- 滲透測試 - 快速指南
- 滲透測試 - 資源
- 滲透測試 - 討論
滲透測試 - 測試人員
保護組織最關鍵的資料是一個問題;因此,滲透測試人員的角色非常關鍵,一個小錯誤可能會使雙方(測試人員及其客戶)面臨風險。
因此,本章討論滲透測試人員的各個方面,包括他們的資質、經驗和職責。
滲透測試人員的資質
此測試只能由合格的滲透測試人員執行;因此,滲透測試人員的資質非常重要。
只要他們組織上獨立,合格的內部專家或合格的外部專家都可以執行滲透測試。這意味著滲透測試人員必須在組織上獨立於目標系統的管理。例如,如果第三方公司參與目標系統的安裝、維護或支援,則該方不能執行滲透測試。
以下是一些在聘請滲透測試人員時會對您有所幫助的指導原則。
認證
持證人員可以執行滲透測試。測試人員持有的認證是他技能和勝任能力的標誌。
以下是滲透測試認證的重要示例:
認證道德駭客 (CEH)。
Offensive Security 認證專業人員 (OSCP)。
CREST 滲透測試認證。
通訊電子安全小組 (CESG) IT 健康檢查服務認證。
全球資訊保障認證 (GIAC) 認證,例如,GIAC 認證滲透測試人員 (GPEN)、GIAC Web 應用程式滲透測試人員 (GWAPT)、高階滲透測試人員 (GXPN) 和 GIAC 利用研究人員。
以往經驗
以下問題將幫助您聘請一位有效的滲透測試人員:
滲透測試人員有多少年經驗?
他是獨立的滲透測試人員還是為某個組織工作?
他作為滲透測試人員為多少家公司工作過?
他是否為任何規模和範圍與您公司類似的組織執行過滲透測試?
滲透測試人員擁有哪種型別的經驗?例如,進行網路層滲透測試等
您也可以向他為其工作的其他客戶索取推薦。
在聘請滲透測試人員時,重要的是要評估他(測試人員)所工作的組織過去一年的測試經驗,因為它與他在目標環境中具體部署的技術有關。
此外,對於複雜的情況和典型的客戶需求,建議評估測試人員在其之前的專案中處理類似環境的能力。
滲透測試人員的角色
滲透測試人員具有以下角色:
識別工具和技術的低效分配。
跨內部安全系統進行測試。
查明漏洞以保護最關鍵的資料。
發現整個基礎設施中漏洞和風險的寶貴知識。
報告和優先考慮修復建議,以確保安全團隊以最有效的方式利用時間,同時保護最大的安全漏洞。