渗透测试 – 测试人员

存在保护组织最关键数据的问题；因此，渗透测试人员的角色非常关键，一个小错误可能会让双方（测试人员和他的客户）都面临风险。

因此，本章讨论渗透测试人员的各个方面，包括他的资格、经验和职责。

渗透测试人员的资格

此测试只能由合格的渗透测试人员执行；因此，渗透测试人员的资格非常重要。

合格的内部专家或合格的外部专家都可以执行渗透测试，直到他们在组织上独立。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如，如果第三方公司参与目标系统的安装、维护或支持，则该方无法执行渗透测试。

以下是一些指导方针，可以帮助您调用渗透测试人员。

认证

经过认证的人员可以执行渗透测试。测试人员持有的认证表明他的技能组合和有能力的渗透测试人员的能力。

以下是渗透测试认证的重要示例 –

• 认证道德黑客 (CEH)。

• 进攻性安全认证专家 (OSCP)。

• CREST 渗透测试认证。

• 通信电子安全组 (CESG) IT 健康检查服务认证。

• 全球信息保障认证 (GIAC) 认证，例如 GIAC 认证渗透测试仪 (GPEN)、GIAC Web 应用渗透测试仪 (GWAPT)、高级渗透测试仪 (GXPN) 和 GIAC 漏洞利用研究员。

过去的经历

以下问题将帮助您聘请有效的渗透测试人员 –

• 渗透测试员有多少年的经验？

• 他是独立的渗透测试员还是为组织工作？

• 他在多少家公司担任渗透测试员？

• 他是否为任何与您的规模和范围相似的组织进行了渗透测试？

• 渗透测试员有什么样的经验？例如，进行网络层渗透测试等

• 您也可以要求他工作的其他客户提供参考。

在聘请渗透测试员时，重要的是评估他（测试员）工作过的组织过去一年的测试经验，因为这与他在目标环境中专门部署的技术有关。

除此之外，对于复杂的情况和典型的客户需求，建议评估测试人员在其早期项目中处理类似环境的能力。

渗透测试员的角色

渗透测试员具有以下角色 –

• 确定工具和技术的低效分配。

• 跨内部安全系统进行测试。

• 查明暴露情况以保护最关键的数据。

• 发现有关整个基础架构中的漏洞和风险的宝贵知识。

• 报告和确定修复建议的优先级，以确保安全团队以最有效的方式利用他们的时间，同时保护最大的安全漏洞。