Существует проблема защиты наиболее важных данных организации; поэтому роль тестера проникновения очень важна, небольшая ошибка может подвергнуть риску обе стороны (тестировщика и его клиента).
Поэтому в этой главе рассматриваются различные аспекты тестера на проникновение, включая его квалификацию, опыт и обязанности.
Квалификация тестеров на проникновение
Этот тест может быть выполнен только квалифицированным тестером на проникновение; следовательно, квалификация тестера на проникновение очень важна.
Как квалифицированный внутренний эксперт, так и квалифицированный внешний эксперт могут выполнить тест на проникновение, пока они не станут организационно независимыми. Это означает, что тестер проникновения должен быть организационно независимым от управления целевыми системами. Например, если сторонняя компания участвует в установке, обслуживании или поддержке целевых систем, то эта сторона не может выполнить тестирование на проникновение.
Вот несколько рекомендаций, которые помогут вам при вызове тестера на проникновение.
сертификация
Сертифицированное лицо может выполнить тестирование на проникновение. Сертификация, проводимая тестером, является показателем его навыков и компетентности способного тестера на проникновение.
Ниже приведены важные примеры сертификации тестирования на проникновение:
-
Сертифицированный этический хакер (CEH).
-
Сертифицированный специалист по оскорбительной безопасности (OSCP).
-
Сертификаты для испытаний на проникновение CREST.
-
Communication Electronic Security Group (CESG) Сертификация службы проверки работоспособности ИТ.
-
Сертификаты Global Information Assurance Certification (GIAC), например, сертифицированный GIAC тестер проникновения (GPEN), тестер проникновения веб-приложений GIAC (GWAPT), расширенный тестер проникновения (GXPN) и исследователь эксплойтов GIAC.
Сертифицированный этический хакер (CEH).
Сертифицированный специалист по оскорбительной безопасности (OSCP).
Сертификаты для испытаний на проникновение CREST.
Communication Electronic Security Group (CESG) Сертификация службы проверки работоспособности ИТ.
Сертификаты Global Information Assurance Certification (GIAC), например, сертифицированный GIAC тестер проникновения (GPEN), тестер проникновения веб-приложений GIAC (GWAPT), расширенный тестер проникновения (GXPN) и исследователь эксплойтов GIAC.
Прошлый опыт
Следующие вопросы помогут вам нанять эффективного тестера на проникновение —
-
Сколько лет опыта имеет тестер на проникновение?
-
Является ли он независимым тестером проникновения или работает в организации?
-
В скольких компаниях он работал тестером на проникновение?
-
Проводил ли он тестирование на проникновение для какой-либо организации, которая имеет такой же размер и область применения, как ваша?
-
Какой опыт имеет тестер проникновения? Например, проведение тестирования на проникновение сетевого уровня и т. Д.
-
Вы также можете попросить ссылку у других клиентов, для которых он работал.
Сколько лет опыта имеет тестер на проникновение?
Является ли он независимым тестером проникновения или работает в организации?
В скольких компаниях он работал тестером на проникновение?
Проводил ли он тестирование на проникновение для какой-либо организации, которая имеет такой же размер и область применения, как ваша?
Какой опыт имеет тестер проникновения? Например, проведение тестирования на проникновение сетевого уровня и т. Д.
Вы также можете попросить ссылку у других клиентов, для которых он работал.
При найме тестера на проникновение важно оценить прошлогодний опыт тестирования организации, для которой он (тестер) работал, поскольку это связано с технологиями, специально разработанными им в целевой среде.
В дополнение к вышесказанному, для сложных ситуаций и типичных требований клиента рекомендуется оценить способность тестера справляться с подобной средой в его / ее более раннем проекте.
Роль тестера проникновения
Тестер проникновения имеет следующие роли —
Выявить неэффективное распределение инструментов и технологий.
Тестирование во внутренних системах безопасности.
Определите воздействия, чтобы защитить самые важные данные.
Откройте для себя бесценные знания об уязвимостях и рисках во всей инфраструктуре.
Составление отчетов и определение приоритетов рекомендаций по исправлению, чтобы гарантировать, что команда безопасности использует свое время наиболее эффективным способом, защищая при этом самые большие пробелы в безопасности.