Có vấn đề bảo vệ dữ liệu quan trọng nhất của tổ chức; do đó, vai trò của người kiểm thử phần mềm thâm nhập là rất nghiêm trọng, một lỗi nhỏ có thể khiến cả hai bên (người kiểm thử và khách hàng của anh ta) gặp rủi ro.
Do đó, chương này thảo luận về các khía cạnh khác nhau của một người thử nghiệm thâm nhập bao gồm trình độ, kinh nghiệm và trách nhiệm của anh ta.
Thử nghiệm này chỉ có thể được thực hiện bởi một người kiểm thử phần mềm thâm nhập có trình độ; do đó, trình độ của một người kiểm thử thâm nhập là rất quan trọng.
Chuyên gia nội bộ có trình độ hoặc chuyên gia bên ngoài có trình độ có thể thực hiện kiểm thử thâm nhập cho đến khi họ độc lập về mặt tổ chức. Nó có nghĩa là người kiểm thử thâm nhập phải độc lập về mặt tổ chức với việc quản lý các hệ thống đích. Ví dụ: nếu một công ty bên thứ ba có liên quan đến việc cài đặt, bảo trì hoặc hỗ trợ các hệ thống đích, thì bên đó không thể thực hiện kiểm thử thâm nhập.
Dưới đây là một số hướng dẫn sẽ giúp bạn trong khi gọi một thử nghiệm thâm nhập.
Một người được chứng nhận có thể thực hiện kiểm thử phần mềm thâm nhập. Chứng nhận được tổ chức bởi người thử nghiệm là dấu hiệu của bộ kỹ năng và năng lực của người thử nghiệm khả năng thâm nhập.
Sau đây là những ví dụ quan trọng của chứng nhận thử nghiệm thâm nhập
Hacker đạo đức được chứng nhận (CEH).
Tấn công được chứng nhận chuyên nghiệp (OSCP).
CREST Chứng nhận kiểm thử thâm nhập.
Tổ chức bảo mật điện tử truyền thông (CESG) Chứng nhận dịch vụ kiểm thử sức khỏe CNTT.
Ví dụ: Chứng nhận bảo đảm thông tin toàn cầu (GIAC), Trình kiểm thử thâm nhập được chứng nhận GIAC (GPEN), Trình kiểm thử thâm nhập ứng dụng web GIAC (GWAPT), Trình kiểm thử thâm nhập nâng cao (GXPN) và Nhà nghiên cứu khai thác GIAC.
Các câu hỏi sau đây sẽ giúp bạn thuê một người thử nghiệm thâm nhập hiệu quả -
Người kiểm thử phần mềm thâm nhập có bao nhiêu năm kinh nghiệm?
Anh ta là một người thử nghiệm thâm nhập độc lập hay làm việc cho một tổ chức?
Với bao nhiêu công ty, ông làm việc như một người thử nghiệm thâm nhập?
Anh ta đã thực hiện kiểm thử thâm nhập cho bất kỳ tổ chức nào, có quy mô và phạm vi tương tự như của bạn?
Những loại thử nghiệm thâm nhập có? Ví dụ, tiến hành thử nghiệm thâm nhập lớp mạng, v.v.
Bạn cũng có thể yêu cầu sự tham khảo từ các khách hàng khác mà anh ta làm việc.
Khi thuê một người thử nghiệm thâm nhập, điều quan trọng là phải đánh giá kinh nghiệm thử nghiệm năm ngoái của tổ chức mà anh ta (người thử nghiệm) đã làm việc vì nó liên quan đến các công nghệ được anh ta triển khai cụ thể trong môi trường mục tiêu.
Ngoài các trường hợp trên, đối với các tình huống phức tạp và các yêu cầu khách hàng điển hình, nên đánh giá khả năng của người kiểm thử để xử lý môi trường tương tự trong dự án trước đó của anh ấy / cô ấy.
Một thử nghiệm thâm nhập có các vai trò sau
Xác định phân bổ không hiệu quả của các công cụ và công nghệ.
Kiểm thử phần mềm trên các hệ thống an ninh nội bộ.
Xác định chính xác phơi nhiễm để bảo vệ dữ liệu quan trọng nhất.
Khám phá kiến thức vô giá về các lỗ hổng và rủi ro trong toàn bộ cơ sở hạ tầng.
Báo cáo và ưu tiên các khuyến nghị khắc phục để đảm bảo rằng nhóm bảo mật đang sử dụng thời gian của họ một cách hiệu quả nhất, trong khi bảo vệ các lỗ hổng bảo mật lớn nhất.
Do đó, chương này thảo luận về các khía cạnh khác nhau của một người thử nghiệm thâm nhập bao gồm trình độ, kinh nghiệm và trách nhiệm của anh ta.
 |
| Học kiểm thử phần mềm chuyên nghiệp |
Trình độ kiểm thử thâm nhập
Thử nghiệm này chỉ có thể được thực hiện bởi một người kiểm thử phần mềm thâm nhập có trình độ; do đó, trình độ của một người kiểm thử thâm nhập là rất quan trọng.
Chuyên gia nội bộ có trình độ hoặc chuyên gia bên ngoài có trình độ có thể thực hiện kiểm thử thâm nhập cho đến khi họ độc lập về mặt tổ chức. Nó có nghĩa là người kiểm thử thâm nhập phải độc lập về mặt tổ chức với việc quản lý các hệ thống đích. Ví dụ: nếu một công ty bên thứ ba có liên quan đến việc cài đặt, bảo trì hoặc hỗ trợ các hệ thống đích, thì bên đó không thể thực hiện kiểm thử thâm nhập.
Dưới đây là một số hướng dẫn sẽ giúp bạn trong khi gọi một thử nghiệm thâm nhập.
Chứng nhận
Một người được chứng nhận có thể thực hiện kiểm thử phần mềm thâm nhập. Chứng nhận được tổ chức bởi người thử nghiệm là dấu hiệu của bộ kỹ năng và năng lực của người thử nghiệm khả năng thâm nhập.
Sau đây là những ví dụ quan trọng của chứng nhận thử nghiệm thâm nhập
Hacker đạo đức được chứng nhận (CEH).
Tấn công được chứng nhận chuyên nghiệp (OSCP).
CREST Chứng nhận kiểm thử thâm nhập.
Tổ chức bảo mật điện tử truyền thông (CESG) Chứng nhận dịch vụ kiểm thử sức khỏe CNTT.
Ví dụ: Chứng nhận bảo đảm thông tin toàn cầu (GIAC), Trình kiểm thử thâm nhập được chứng nhận GIAC (GPEN), Trình kiểm thử thâm nhập ứng dụng web GIAC (GWAPT), Trình kiểm thử thâm nhập nâng cao (GXPN) và Nhà nghiên cứu khai thác GIAC.
Kinh nghiệm quá khứ
Các câu hỏi sau đây sẽ giúp bạn thuê một người thử nghiệm thâm nhập hiệu quả -
Người kiểm thử phần mềm thâm nhập có bao nhiêu năm kinh nghiệm?
Anh ta là một người thử nghiệm thâm nhập độc lập hay làm việc cho một tổ chức?
Với bao nhiêu công ty, ông làm việc như một người thử nghiệm thâm nhập?
Anh ta đã thực hiện kiểm thử thâm nhập cho bất kỳ tổ chức nào, có quy mô và phạm vi tương tự như của bạn?
Những loại thử nghiệm thâm nhập có? Ví dụ, tiến hành thử nghiệm thâm nhập lớp mạng, v.v.
Bạn cũng có thể yêu cầu sự tham khảo từ các khách hàng khác mà anh ta làm việc.
Khi thuê một người thử nghiệm thâm nhập, điều quan trọng là phải đánh giá kinh nghiệm thử nghiệm năm ngoái của tổ chức mà anh ta (người thử nghiệm) đã làm việc vì nó liên quan đến các công nghệ được anh ta triển khai cụ thể trong môi trường mục tiêu.
Ngoài các trường hợp trên, đối với các tình huống phức tạp và các yêu cầu khách hàng điển hình, nên đánh giá khả năng của người kiểm thử để xử lý môi trường tương tự trong dự án trước đó của anh ấy / cô ấy.
Vai trò của Người kiểm thử thâm nhập
Một thử nghiệm thâm nhập có các vai trò sau
Xác định phân bổ không hiệu quả của các công cụ và công nghệ.
Kiểm thử phần mềm trên các hệ thống an ninh nội bộ.
Xác định chính xác phơi nhiễm để bảo vệ dữ liệu quan trọng nhất.
Khám phá kiến thức vô giá về các lỗ hổng và rủi ro trong toàn bộ cơ sở hạ tầng.
Báo cáo và ưu tiên các khuyến nghị khắc phục để đảm bảo rằng nhóm bảo mật đang sử dụng thời gian của họ một cách hiệu quả nhất, trong khi bảo vệ các lỗ hổng bảo mật lớn nhất.
Không có nhận xét nào:
Đăng nhận xét