การทดสอบการเจาะ - ผู้ทดสอบ

มีประเด็นในการปกป้องข้อมูลที่สำคัญที่สุดขององค์กร ดังนั้นบทบาทของผู้ทดสอบการเจาะจึงมีความสำคัญมากข้อผิดพลาดเล็กน้อยสามารถทำให้ทั้งสองฝ่าย (ผู้ทดสอบและลูกค้าของเขา) ตกอยู่ในความเสี่ยง

ดังนั้นบทนี้จะกล่าวถึงแง่มุมต่างๆของผู้ทดสอบการเจาะรวมทั้งคุณสมบัติประสบการณ์และความรับผิดชอบของเขา

คุณสมบัติของผู้ทดสอบการเจาะ

การทดสอบนี้สามารถทำได้โดยผู้ทดสอบการเจาะที่มีคุณสมบัติเหมาะสมเท่านั้น ดังนั้นคุณสมบัติของเครื่องทดสอบการเจาะจึงมีความสำคัญมาก

ผู้เชี่ยวชาญภายในที่มีคุณสมบัติเหมาะสมหรือผู้เชี่ยวชาญภายนอกที่มีคุณสมบัติสามารถทำการทดสอบการเจาะได้จนกว่าจะมีความเป็นอิสระจากองค์กร หมายความว่าผู้ทดสอบการเจาะจะต้องเป็นอิสระจากองค์กรจากการจัดการระบบเป้าหมาย ตัวอย่างเช่นหาก บริษัท บุคคลที่สามมีส่วนร่วมในการติดตั้งบำรุงรักษาหรือสนับสนุนระบบเป้าหมายฝ่ายนั้นจะไม่สามารถทำการทดสอบการเจาะได้

คำแนะนำบางประการที่จะช่วยคุณขณะโทรหาผู้ทดสอบการเจาะ

การรับรอง

ผู้ได้รับการรับรองสามารถทำการทดสอบการเจาะได้ การรับรองโดยผู้ทดสอบเป็นสิ่งที่บ่งบอกถึงทักษะและความสามารถของผู้ทดสอบการเจาะที่มีความสามารถ

ต่อไปนี้เป็นตัวอย่างที่สำคัญของการรับรองการทดสอบการเจาะ -

  • แฮ็กเกอร์จริยธรรมที่ได้รับการรับรอง (CEH)

  • ผู้เชี่ยวชาญที่ได้รับการรับรองความปลอดภัยที่ไม่เหมาะสม (OSCP)

  • ใบรับรองการทดสอบการเจาะ CREST

  • การสื่อสาร Electronic Security Group (CESG) การรับรองบริการตรวจสุขภาพไอที

  • ใบรับรอง Global Information Assurance Certification (GIAC) เช่น GIAC Certified Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), Advance Penetration Tester (GXPN) และ GIAC Exploit Researcher

ประสบการณ์ที่ผ่านมา

คำถามต่อไปนี้จะช่วยให้คุณจ้างผู้ทดสอบการเจาะที่มีประสิทธิภาพ -

  • ผู้ทดสอบการเจาะมีประสบการณ์กี่ปี?

  • เขาเป็นผู้ทดสอบการเจาะอิสระหรือทำงานให้กับองค์กรหรือไม่?

  • เขาทำงานเป็นผู้ทดสอบการเจาะด้วยกี่ บริษัท ?

  • เขาได้ทำการทดสอบการเจาะสำหรับองค์กรใด ๆ ที่มีขนาดและขอบเขตใกล้เคียงกับของคุณหรือไม่?

  • ผู้ทดสอบการเจาะมีประสบการณ์ประเภทใด? ตัวอย่างเช่นการทดสอบการเจาะเลเยอร์เครือข่ายเป็นต้น

  • คุณอาจขอข้อมูลอ้างอิงจากลูกค้ารายอื่นที่เขาทำงานให้

เมื่อจ้างผู้ทดสอบการเจาะสิ่งสำคัญคือต้องประเมินประสบการณ์การทดสอบในปีที่ผ่านมาขององค์กรที่เขา (ผู้ทดสอบ) ทำงานเนื่องจากเกี่ยวข้องกับเทคโนโลยีที่เขานำไปใช้โดยเฉพาะภายในสภาพแวดล้อมเป้าหมาย

นอกเหนือจากข้างต้นสำหรับสถานการณ์ที่ซับซ้อนและความต้องการของลูกค้าโดยทั่วไปขอแนะนำให้ประเมินความสามารถของผู้ทดสอบในการจัดการสภาพแวดล้อมที่คล้ายคลึงกันในโครงการก่อนหน้านี้ของเขา / เธอ

บทบาทของเครื่องทดสอบการเจาะ

ผู้ทดสอบการเจาะมีบทบาทดังต่อไปนี้ -

  • ระบุการจัดสรรเครื่องมือและเทคโนโลยีที่ไม่มีประสิทธิภาพ

  • การทดสอบระบบรักษาความปลอดภัยภายใน

  • ระบุการเปิดเผยเพื่อปกป้องข้อมูลที่สำคัญที่สุด

  • ค้นพบความรู้อันล้ำค่าเกี่ยวกับช่องโหว่และความเสี่ยงทั่วทั้งโครงสร้างพื้นฐาน

  • การรายงานและจัดลำดับความสำคัญของคำแนะนำในการแก้ไขเพื่อให้แน่ใจว่าทีมรักษาความปลอดภัยใช้เวลาของพวกเขาอย่างมีประสิทธิภาพสูงสุดในขณะเดียวกันก็ปกป้องช่องว่างด้านความปลอดภัยที่ใหญ่ที่สุด