- 渗透测试教程
- 渗透测试 - 首页
- 渗透测试 - 简介
- 渗透测试 - 方法
- 测试与漏洞评估
- 渗透测试 - 类型
- 手动和自动化
- 渗透测试 - 工具
- 渗透测试 - 基础设施
- 渗透测试 - 测试人员
- 渗透测试 - 报告编写
- 渗透测试 - 伦理黑客
- 渗透测试与伦理黑客
- 渗透测试 - 局限性
- 渗透测试 - 修复
- 渗透测试 - 法律问题
- 渗透测试资源
- 渗透测试 - 快速指南
- 渗透测试 - 资源
- 渗透测试 - 讨论
渗透测试 - 测试人员
保护组织最关键的数据是一个问题;因此,渗透测试人员的角色非常关键,一个小错误可能会使双方(测试人员及其客户)面临风险。
因此,本章讨论渗透测试人员的各个方面,包括他们的资质、经验和职责。
渗透测试人员的资质
此测试只能由合格的渗透测试人员执行;因此,渗透测试人员的资质非常重要。
只要他们组织上独立,合格的内部专家或合格的外部专家都可以执行渗透测试。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如,如果第三方公司参与目标系统的安装、维护或支持,则该方不能执行渗透测试。
以下是一些在聘请渗透测试人员时会对您有所帮助的指导原则。
认证
持证人员可以执行渗透测试。测试人员持有的认证是他技能和胜任能力的标志。
以下是渗透测试认证的重要示例:
认证道德黑客 (CEH)。
Offensive Security 认证专业人员 (OSCP)。
CREST 渗透测试认证。
通信电子安全小组 (CESG) IT 健康检查服务认证。
全球信息保障认证 (GIAC) 认证,例如,GIAC 认证渗透测试人员 (GPEN)、GIAC Web 应用程序渗透测试人员 (GWAPT)、高级渗透测试人员 (GXPN) 和 GIAC 利用研究人员。
以往经验
以下问题将帮助您聘请一位有效的渗透测试人员:
渗透测试人员有多少年经验?
他是独立的渗透测试人员还是为某个组织工作?
他作为渗透测试人员为多少家公司工作过?
他是否为任何规模和范围与您公司类似的组织执行过渗透测试?
渗透测试人员拥有哪种类型的经验?例如,进行网络层渗透测试等
您也可以向他为其工作的其他客户索取推荐。
在聘请渗透测试人员时,重要的是要评估他(测试人员)所工作的组织过去一年的测试经验,因为它与他在目标环境中具体部署的技术有关。
此外,对于复杂的情况和典型的客户需求,建议评估测试人员在其之前的项目中处理类似环境的能力。
渗透测试人员的角色
渗透测试人员具有以下角色:
识别工具和技术的低效分配。
跨内部安全系统进行测试。
查明漏洞以保护最关键的数据。
发现整个基础设施中漏洞和风险的宝贵知识。
报告和优先考虑修复建议,以确保安全团队以最有效的方式利用时间,同时保护最大的安全漏洞。