Có vấn đề bảo vệ dữ liệu quan trọng nhất của tổ chức; do đó, vai trò của một thử nghiệm thâm nhập là rất quan trọng, một lỗi nhỏ có thể đặt cả hai bên (thử nghiệm và khách hàng của mình) vào rủi ro.
Vì vậy, chương này thảo luận về các khía cạnh khác nhau của một thử nghiệm thâm nhập bao gồm trình độ, kinh nghiệm và trách nhiệm của mình.
Chuyên gia nội bộ đủ điều kiện hoặc chuyên gia bên ngoài đủ điều kiện có thể thực hiện kiểm thử thâm nhập cho đến khi họ độc lập về mặt tổ chức. Nó có nghĩa là người kiểm thử thâm nhập phải độc lập về mặt tổ chức từ việc quản lý các hệ thống đích. Ví dụ: nếu một công ty bên thứ ba tham gia vào việc cài đặt, bảo trì hoặc hỗ trợ các hệ thống đích, thì bên đó không thể thực hiện kiểm thử thâm nhập.
Dưới đây là một số hướng dẫn sẽ giúp bạn trong khi gọi điện thoại cho thiết bị kiểm thử xâm nhập.
Sau đây là những ví dụ quan trọng về chứng nhận kiểm thử thâm nhập
Chứng nhận đạo đức Hacker (CEH).
Chuyên gia được chứng nhận bảo mật chuyên nghiệp (OSCP).
CREST thâm nhập kiểm thử xác nhận.
Truyền thông Nhóm bảo mật điện tử (CESG) Chứng nhận dịch vụ kiểm thử sức khỏe CNTT.
Giấy chứng nhận chứng nhận đảm bảo thông tin toàn cầu (GIAC) ví dụ, Bộ kiểm tra thâm nhập chứng nhận GIAC (GPEN), Bộ kiểm tra thâm nhập ứng dụng Web GIAC (GWAPT), Bộ kiểm thử thâm nhập trước (GXPN) và Nhà nghiên cứu khai thác GIAC.
Thử nghiệm thâm nhập có bao nhiêu năm kinh nghiệm?
Anh ta là người kiểm thử thâm nhập độc lập hay làm việc cho một tổ chức?
Với bao nhiêu công ty ông làm việc như thử nghiệm thâm nhập?
Anh ấy đã thực hiện thử nghiệm thâm nhập cho bất kỳ tổ chức nào, có quy mô và phạm vi tương tự như của bạn chưa?
Loại thử nghiệm thâm nhập nào có kinh nghiệm? Ví dụ, tiến hành kiểm thử thâm nhập lớp mạng vv
Bạn cũng có thể yêu cầu tài liệu tham khảo từ các khách hàng khác mà anh ta đã làm việc.
Khi thuê người kiểm thử thâm nhập, điều quan trọng là đánh giá kinh nghiệm kiểm thử năm qua của tổ chức mà người đó đã làm việc vì nó liên quan đến các công nghệ được triển khai cụ thể bởi anh ta trong môi trường đích.
Ngoài những điều trên, đối với các tình huống phức tạp và các yêu cầu khách hàng điển hình, chúng tôi khuyên bạn nên đánh giá khả năng của người thử nghiệm để xử lý môi trường tương tự trong dự án trước đó của mình.
Vai trò của một thử nghiệm thâm nhập
Thử nghiệm trên các hệ thống bảo mật nội bộ.
Xác định độ phơi sáng để bảo vệ dữ liệu quan trọng nhất.
Khám phá kiến thức vô giá về các lỗ hổng và rủi ro trong toàn bộ cơ sở hạ tầng.
Báo cáo và ưu tiên các khuyến nghị khắc phục để đảm bảo rằng nhóm bảo mật đang sử dụng thời gian của họ theo cách hiệu quả nhất, đồng thời bảo vệ những khoảng trống bảo mật lớn nhất.
Vì vậy, chương này thảo luận về các khía cạnh khác nhau của một thử nghiệm thâm nhập bao gồm trình độ, kinh nghiệm và trách nhiệm của mình.
 |
| ảnh minh họa |
Trình độ kiểm định thâm nhập
Thử nghiệm này có thể được thực hiện chỉ bởi một thử nghiệm thâm nhập đủ điều kiện; do đó, trình độ của một thử nghiệm thâm nhập là rất quan trọng.Chuyên gia nội bộ đủ điều kiện hoặc chuyên gia bên ngoài đủ điều kiện có thể thực hiện kiểm thử thâm nhập cho đến khi họ độc lập về mặt tổ chức. Nó có nghĩa là người kiểm thử thâm nhập phải độc lập về mặt tổ chức từ việc quản lý các hệ thống đích. Ví dụ: nếu một công ty bên thứ ba tham gia vào việc cài đặt, bảo trì hoặc hỗ trợ các hệ thống đích, thì bên đó không thể thực hiện kiểm thử thâm nhập.
Dưới đây là một số hướng dẫn sẽ giúp bạn trong khi gọi điện thoại cho thiết bị kiểm thử xâm nhập.
Chứng nhận
Một người được chứng nhận có thể thực hiện kiểm thử phần mềm thâm nhập. Chứng nhận được tổ chức bởi người kiểm thử là dấu hiệu của bộ kỹ năng và khả năng của người thử nghiệm thâm nhập có khả năng.Sau đây là những ví dụ quan trọng về chứng nhận kiểm thử thâm nhập
Chứng nhận đạo đức Hacker (CEH).
Chuyên gia được chứng nhận bảo mật chuyên nghiệp (OSCP).
CREST thâm nhập kiểm thử xác nhận.
Truyền thông Nhóm bảo mật điện tử (CESG) Chứng nhận dịch vụ kiểm thử sức khỏe CNTT.
Giấy chứng nhận chứng nhận đảm bảo thông tin toàn cầu (GIAC) ví dụ, Bộ kiểm tra thâm nhập chứng nhận GIAC (GPEN), Bộ kiểm tra thâm nhập ứng dụng Web GIAC (GWAPT), Bộ kiểm thử thâm nhập trước (GXPN) và Nhà nghiên cứu khai thác GIAC.
Kinh nghiệm quá khứ
Các câu hỏi sau đây sẽ giúp bạn thuê một máy kiểm thử thâm nhập hiệu quảThử nghiệm thâm nhập có bao nhiêu năm kinh nghiệm?
Anh ta là người kiểm thử thâm nhập độc lập hay làm việc cho một tổ chức?
Với bao nhiêu công ty ông làm việc như thử nghiệm thâm nhập?
Anh ấy đã thực hiện thử nghiệm thâm nhập cho bất kỳ tổ chức nào, có quy mô và phạm vi tương tự như của bạn chưa?
Loại thử nghiệm thâm nhập nào có kinh nghiệm? Ví dụ, tiến hành kiểm thử thâm nhập lớp mạng vv
Bạn cũng có thể yêu cầu tài liệu tham khảo từ các khách hàng khác mà anh ta đã làm việc.
Khi thuê người kiểm thử thâm nhập, điều quan trọng là đánh giá kinh nghiệm kiểm thử năm qua của tổ chức mà người đó đã làm việc vì nó liên quan đến các công nghệ được triển khai cụ thể bởi anh ta trong môi trường đích.
Ngoài những điều trên, đối với các tình huống phức tạp và các yêu cầu khách hàng điển hình, chúng tôi khuyên bạn nên đánh giá khả năng của người thử nghiệm để xử lý môi trường tương tự trong dự án trước đó của mình.
Vai trò của một thử nghiệm thâm nhập
Một thử nghiệm thâm nhập có vai trò sau đây
Xác định phân bổ công cụ và công nghệ không hiệu quả.Thử nghiệm trên các hệ thống bảo mật nội bộ.
Xác định độ phơi sáng để bảo vệ dữ liệu quan trọng nhất.
Khám phá kiến thức vô giá về các lỗ hổng và rủi ro trong toàn bộ cơ sở hạ tầng.
Báo cáo và ưu tiên các khuyến nghị khắc phục để đảm bảo rằng nhóm bảo mật đang sử dụng thời gian của họ theo cách hiệu quả nhất, đồng thời bảo vệ những khoảng trống bảo mật lớn nhất.
Không có nhận xét nào:
Đăng nhận xét