Kiểm tra thâm nhập - Người kiểm tra
Có vấn đề về bảo vệ dữ liệu quan trọng nhất của tổ chức; do đó, vai trò của một người thử nghiệm thâm nhập là rất quan trọng, một lỗi nhỏ có thể khiến cả hai bên (người thử nghiệm và khách hàng của anh ta) gặp rủi ro.
Do đó, chương này thảo luận về các khía cạnh khác nhau của một người kiểm tra thâm nhập bao gồm trình độ chuyên môn, kinh nghiệm và trách nhiệm của anh ta.
Trình độ của người kiểm tra thâm nhập
Thử nghiệm này chỉ có thể được thực hiện bởi một người kiểm tra thâm nhập đủ điều kiện; do đó, trình độ của một người kiểm tra thâm nhập là rất quan trọng.
Chuyên gia nội bộ có trình độ hoặc chuyên gia bên ngoài đủ năng lực có thể thực hiện thử nghiệm thâm nhập cho đến khi họ độc lập về mặt tổ chức. Có nghĩa là người kiểm tra thâm nhập phải độc lập về mặt tổ chức với việc quản lý các hệ thống mục tiêu. Ví dụ: nếu một công ty bên thứ ba tham gia vào việc cài đặt, bảo trì hoặc hỗ trợ các hệ thống mục tiêu thì bên đó không thể thực hiện kiểm tra thâm nhập.
Dưới đây là một số hướng dẫn sẽ giúp bạn trong khi gọi một người kiểm tra thâm nhập.
Chứng nhận
Một người được chứng nhận có thể thực hiện thử nghiệm thâm nhập. Chứng chỉ do người thử nghiệm nắm giữ là dấu hiệu về bộ kỹ năng và năng lực của người thử nghiệm thâm nhập có khả năng.
Sau đây là những ví dụ quan trọng về chứng nhận thử nghiệm thâm nhập -
Hacker đạo đức được chứng nhận (CEH).
Chuyên gia được chứng nhận bảo mật tấn công (OSCP).
Chứng nhận kiểm tra thâm nhập CREST.
Chứng nhận Dịch vụ Kiểm tra Sức khỏe CNTT của Nhóm Bảo mật Điện tử Truyền thông (CESG).
Ví dụ: Chứng chỉ Chứng nhận Đảm bảo Thông tin Toàn cầu (GIAC), Bộ kiểm tra thâm nhập được chứng nhận GIAC (GPEN), Bộ kiểm tra thâm nhập ứng dụng web GIAC (GWAPT), Bộ kiểm tra thâm nhập nâng cao (GXPN) và Nhà nghiên cứu khai thác GIAC.
Kinh nghiệm quá khứ
Những câu hỏi sau đây sẽ giúp bạn thuê một người kiểm tra thâm nhập hiệu quả -
Người kiểm tra thâm nhập có bao nhiêu năm kinh nghiệm?
Anh ta là một người kiểm tra thâm nhập độc lập hay làm việc cho một tổ chức?
Anh ấy đã làm việc với tư cách là người kiểm tra thâm nhập với bao nhiêu công ty?
Anh ta đã thực hiện thử nghiệm thâm nhập cho bất kỳ tổ chức nào có quy mô và phạm vi tương tự như của bạn chưa?
Người kiểm tra thâm nhập có loại kinh nghiệm nào? Ví dụ: tiến hành thử nghiệm thâm nhập lớp mạng, v.v.
Bạn cũng có thể yêu cầu tham khảo từ những khách hàng khác mà anh ta đã làm việc.
Khi thuê một người thử nghiệm thâm nhập, điều quan trọng là phải đánh giá kinh nghiệm thử nghiệm trong năm qua của tổ chức mà anh ta (người thử nghiệm) đã làm việc vì nó có liên quan đến các công nghệ được anh ta triển khai cụ thể trong môi trường mục tiêu.
Ngoài những điều trên, đối với các tình huống phức tạp và các yêu cầu điển hình của khách hàng, nên đánh giá khả năng của người kiểm thử để xử lý môi trường tương tự trong dự án trước đó của họ.
Vai trò của Người kiểm tra thâm nhập
Người kiểm tra thâm nhập có các vai trò sau:
Xác định việc phân bổ công cụ và công nghệ không hiệu quả.
Kiểm tra trên các hệ thống bảo mật nội bộ.
Xác định độ phơi sáng để bảo vệ dữ liệu quan trọng nhất.
Khám phá kiến thức vô giá về các lỗ hổng và rủi ro trong toàn bộ cơ sở hạ tầng.
Báo cáo và ưu tiên các khuyến nghị khắc phục để đảm bảo rằng nhóm bảo mật đang sử dụng thời gian của họ một cách hiệu quả nhất, đồng thời bảo vệ các lỗ hổng bảo mật lớn nhất.