【TechTarget中国原创】Chris Nickerson是你最怕的噩梦，你看不到他的进入，他可以潜入你的数据中心。在他选择的任何服务器上安装恶意软件，并在不对安全产生影响的情况下从容退出。 Nickerson是Lares Consulting的CEO，他在TechTarget的这次采访中谈到了渗透测试的乐趣和外包的风险。

　　TechTarget：有人付钱请你入侵到公司的建筑和网络中。为什么需要这种等级的评估？

　　Chris Nickerson：原因是，在有我的安全项目的我工作过的每个地方，最大的问题就是取得正确渗透测试的基金。我发现你表示和证明的你可以做得越多，你在人造造成的心理影响就越大。当我在他们面前拿到了他们密码，并且证明我可以在夜里两点进入他们的数据中心。当在他们的安全快照中什么也没有的时候，它就起作用了。这个很有用，而且已经在政府部门使用了一百多年了。对于安全人员来说，他们要说他们已经准备好战斗了。那么好，证明一下吧。

　　TechTarget：海外各国写了这么多的代码，如果公司没有对使用的人足够的注意，那么商业间谍的危险会有多大？

　　Nickerson：这一点儿非常现实。这些公司在很多地方花了了很多钱。在软件行业这是个大问题。我认识一些人，而且我自己也曾经作过事故响应，在这里你会发现，正是守门人窃取了源代码。这种情况越来越糟。有些资金雄厚的公司雇用黑客团队进入他们对手的公司，并且取下一季度的设计稿。看看社会诱捕行动这样的事情吧。紧跟在后面的人们可以帮助桌面工程师，建立管理，然后开始向他们支付没有信息的费用。然后他们就依靠这些钱，很快我就可以让他们为他们没想过的事情付钱。我就以你的公司为基地，然后把你付款要我保护的信息出售一百次。这是很漂亮的黑客的方式。我们把这种商业间谍作为美国公司中的严重威胁，而这些公司都会把他们的研究开发（R&D）向其他国家外包，然后再回到本国进行产品分类。

　　TechTarget：平常的公司如果防御商业间谍呢？

　　Nickerso：他们需要少发些牢骚，少猜测。我在Sprint运行了一个项目，但是却很不安全。我们做了社会工程培训项目，想要把一些人们常用的诡计教给用户。在一个星期后，我们打了电话，对他们进行了社会工程测试。成功率很低。这很不安全。他们所知道的唯一的事情是了解了测试有多糟糕。

　　TechTarget：你所看到的企业的信息安全项目中最大的错误是什么？

　　Nickerson：了解业务是我认为的最正常的，但是我的大部分客户都被我的观点震惊了。全面检查并决定什么是最重要的需要保留的，并把信息安全项目建立在这些之外是最关键的，而不仅仅是遵守法规。你可能遵守了法规，但是如果你的系统受到了工具，你就会被辞退，而没有薪水。人们会在法规和安全的方面犯错误。

　　TechTarget：你见过有些公司把重点放在了法规上，而没有作足安全？

　　Nickerson：是的。我曾经为一家遭受过数据泄露攻击的公司的母公司做过评估，我向他们展示了漏洞，他们说：“这不是法规的要求，我们不在乎。”这是敞开数据中心的大门，而他们所说的只是“法规、法规”。我喜欢向人们表示我可以接近公司的关键资源，不管多近。我喜欢告诉客户任何东西都可以通过Windows控制。你不认为这是问题吗？好吧，我可以对你的硬盘加密而不告诉你密钥。你就完了！