Существует проблема защиты наиболее важных данных организации; поэтому роль тестера проникновения очень важна, небольшая ошибка может привести к тому, что обе стороны (тестировщик и его клиент) рискуют.

Квалификация тестеров проникновения

Этот тест может быть выполнен только квалифицированным тестером проникновения; поэтому очень важна квалификация тестера проникновения.

Любой квалифицированный специалист по внутренним вопросам или квалифицированный внешний эксперт может выполнить тест на проникновение, пока они не будут организационно независимыми. Это означает, что тестер проникновения должен быть организационно независимым от управления целевыми системами. Например, если сторонняя компания участвует в установке, обслуживании или поддержке целевых систем, то эта сторона не может выполнить тестирование на проникновение.

Вот некоторые рекомендации, которые помогут вам при вызове тестера проникновения.

Сертификация

Сертифицированное лицо может выполнить тестирование на проникновение. Сертификация, проводимая тестировщиком, является указанием на его навыки и компетенцию квалифицированного тестера проникновения.

Ниже приводятся важные примеры сертификации тестирования на проникновение:

  • Сертифицированный этический хакер (CEH).
  • Оскорбительный сертифицированный специалист по безопасности (OSCP).
  • Сертификация тестирования проникновения CREST.
  • Аттестация службы электронной безопасности (CESG).
  • Сертификация сертификации глобальной сертификационной информации (GIAC), например, сертифицированный GIAC Тестер проникновения (GPEN), Тестер проникновения в веб-приложение GIAC (GWAPT), Тестер предварительного проникновения (GXPN) и Исследователь GIAC Exploit.

Прошлый опыт

Следующие вопросы помогут вам нанять эффективный тестер проникновения -

  • Сколько лет опыта имеет тестер проникновения?
  • Является ли он независимым тестером проникновения или работает в организации?
  • С каким количеством компаний он работал в качестве тестера проникновения?
  • Провел ли он тестирование на проникновение для любой организации, которая имеет такой же размер и объем, как и ваши?
  • Какого типа опыт имеет тестер проникновения? Например, проведение тестирования проникновения на сетевом уровне и т. д.
  • Вы также можете попросить ссылку у других клиентов, для которых он работал.

При найме тестера проникновения важно оценить опыт тестирования в прошлом году организации, для которой он (тестер) работал, поскольку он связан с технологиями, специально развернутыми им в целевой среде.

В дополнение к вышесказанному, для сложных ситуаций и типичных требований клиентов рекомендуется оценить способность тестировщика справляться с подобной средой в его / ее предыдущем проекте.

Роль тестера проникновения

Тестер проникновения имеет следующие роли:

  • Определите неэффективное распределение инструментов и технологий.
  • Тестирование во внутренних системах безопасности.
  • Определить экспозицию для защиты наиболее важных данных.
  • Откройте для себя бесценные знания об уязвимостях и рисках во всей инфраструктуре.
  • Отчетность и определение приоритетов рекомендаций по исправлению положения для обеспечения того, чтобы команда безопасности использовала свое время наиболее эффективным способом, одновременно защищая самые большие пробелы в безопасности.