침투 테스트-테스터

조직의 가장 중요한 데이터를 보호하는 문제가 있습니다. 따라서 침투 테스터의 역할은 매우 중요하며 사소한 오류로 인해 당사자 (테스터와 그의 클라이언트)가 위험에 처할 수 있습니다.

따라서이 장에서는 자격, 경험 및 책임을 포함하여 침투 테스터의 다양한 측면에 대해 설명합니다.

침투 테스터의 자격

이 테스트는 자격을 갖춘 침투 테스터 만 수행 할 수 있습니다. 따라서 침투 테스터의 자격이 매우 중요합니다.

자격을 갖춘 내부 전문가 또는 자격을 갖춘 외부 전문가가 조직적으로 독립 될 때까지 침투 테스트를 수행 할 수 있습니다. 이는 침투 테스터가 대상 시스템의 관리로부터 조직적으로 독립적이어야 함을 의미합니다. 예를 들어, 타사 회사가 대상 시스템의 설치, 유지 관리 또는 지원에 관여하는 경우 해당 당사자는 침투 테스트를 수행 할 수 없습니다.

침투 테스터를 부르는 동안 도움이 될 몇 가지 지침이 있습니다.

인증

인증 된 사람이 침투 테스트를 수행 할 수 있습니다. 테스터가 보유한 인증은 그의 기술 세트와 유능한 침투 테스터의 능력을 나타냅니다.

다음은 침투 테스트 인증의 중요한 예입니다.

• CEH (Certified Ethical Hacker).

• OSCP (Offensive Security Certified Professional).

• CREST 침투 테스트 인증.

• CESG (통신 전자 보안 그룹) IT Health Check Service 인증.

• GIAC (Global Information Assurance Certification) 인증 (예 : GIAC Certified Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), Advance Penetration Tester (GXPN) 및 GIAC Exploit Researcher).

과거의 경험

다음 질문은 효과적인 침투 테스터를 고용하는 데 도움이됩니다.

• 침투 테스터는 몇 년의 경험을 가지고 있습니까?

• 그는 독립적 인 침투 테스터이거나 조직에서 일하고 있습니까?

• 침투 테스터로 일한 회사는 몇 개입니까?

• 그는 당신과 비슷한 규모와 범위를 가진 조직에 대해 침투 테스트를 수행 했습니까?

• 침투 테스터는 어떤 유형의 경험을 가지고 있습니까? 예를 들어, 네트워크 계층 침투 테스트 수행 등

• 그가 일한 다른 고객에게 참조를 요청할 수도 있습니다.

침투 테스터를 고용 할 때 대상 환경 내에서 특별히 배포 한 기술과 관련하여 자신 (테스터)이 근무한 조직의 작년 테스트 경험을 평가하는 것이 중요합니다.

위의 것 외에도 복잡한 상황과 일반적인 클라이언트 요구 사항의 경우 이전 프로젝트에서 유사한 환경을 처리하는 테스터의 능력을 평가하는 것이 좋습니다.

침투 테스터의 역할

침투 테스터의 역할은 다음과 같습니다.

• 도구 및 기술의 비효율적 인 할당을 식별합니다.

• 내부 보안 시스템을 통한 테스트.

• 노출을 정확히 파악하여 가장 중요한 데이터를 보호합니다.

• 인프라 전체의 취약성과 위험에 대한 귀중한 지식을 발견하십시오.

• 수정 권장 사항을보고하고 우선 순위를 지정하여 보안 팀이 가장 큰 보안 허점을 보호하면서 가장 효과적인 방법으로 시간을 활용하도록합니다.