【TechTarget中国原创】问:选择渗透测试员有什么标准?
答:渗透测试的目标不仅是要评估电脑系统或者网络的安全性,还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的任何安全问题随后都要报告,一起报告的还有对他们可能产生的影响的评估。建议还要指出如果减轻这些问题。通常这些测试都是在系统或者应用使用之前进行的。然后测试会定期进行。
在选择渗透测试员之前,需要正确地确定你想要测试哪些系统。例如,测试Unix系统的专家可能不是测试Windows系统的专家。一旦决定了要测试的系统,就向其他公司的同事询问做过类似工作的人的资料。相比较渗透测试证书而言,我更喜欢这种方法,因为在这个领域还没有真正的行业标准。
我也不会总是关注著名的咨询人员。这些咨询人员通常都是通才,而渗透测试是专业工作。不管你会用谁,都要保证当签订合同时,来的人不是生手。
还应该了解渗透潜在的测试人员喜欢使用的方法。执行渗透测试的最好方法是进行一系列系统的可以重复的测试,可以对很多不同种类的漏洞进行测试,避免使用效率较低的分散的方式。但是还是要谨慎对待检查清单的方法,并且不能过度依赖自动化工具。这种类型的结果更像是漏洞扫描而不是全面的渗透测试。渗透测试并不是精密科学,所以测试人员要在探究关注的领域时非常灵活,并对最新的阻力进行追踪。这样,测试就可以关注你的环境中的攻击携带者。
如果决定了让谁进行测试,要确保他们有时间进行彻底的评估。紧迫的时间限制会迫使测试人员跳过某些涉及到的问题。有一点很重要,他们要不断把发现的结果、测试完成后的最终报告细节、关键的发现和建议通知你。记住这些报告是你付了钱所购买的,而且你需要找时间何测试人员进行讨论。如果你在选择测试人员的时候很着急,那么不仅会造成资金的浪费,而且你收到的报告会让企业造成误解,对安全做出错误判断。