渗透测试 - 测试人员

存在保护组织最关键数据的问题；因此，渗透测试人员的作用至关重要，一个小小的错误可能会使双方(测试人员和他的客户)面临风险。

因此，本章讨论了渗透测试人员的各个方面，包括其资格、经验和职责。

渗透测试人员的资格

只有合格的渗透测试人员才能执行此测试；因此，渗透测试人员的资格非常重要。

合格的内部专家或合格的外部专家都可以执行渗透测试，直到他们在组织上独立。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如，如果第三方公司参与目标系统的安装、维护或支持，则该方不能执行渗透测试。

以下是一些在呼叫渗透测试人员时会有所帮助的指南。

认证

经过认证的人员可以执行渗透测试。测试人员持有的认证表明了他的技能和能力，是有能力的渗透测试人员。

以下是渗透测试认证的重要示例 −

• 认证道德黑客 (CEH)。

• 进攻性安全认证专家 (OSCP)。

• CREST 渗透测试认证。

• 通信电子安全组 (CESG) IT 健康检查服务认证。

• 全球信息保证认证 (GIAC) 认证，例如 GIAC 认证渗透测试员 (GPEN)、GIAC Web 应用程序渗透测试员 (GWAPT)、高级渗透测试员 (GXPN) 和 GIAC 漏洞研究员。

过去的经验

以下问题将帮助您聘请有效的渗透测试员 −

• 渗透测试员有多少年经验?

• 他是独立渗透测试员还是为组织工作?

• 他曾在多少家公司担任渗透测试员?

• 他是否为任何规模和范围与您相似的组织进行过渗透测试?

• 渗透测试员有哪些类型的经验?例如，进行网络层渗透测试等。

• 您也可以向他工作过的其他客户寻求推荐。

在聘请渗透测试员时，重要的是评估他(测试员)所在组织过去一年的测试经验，因为这与他在目标环境中专门部署的技术有关。

除上述内容外，对于复杂的情况和典型的客户要求，建议评估测试员在其早期项目中处理类似环境的能力。

渗透测试员的角色

渗透测试员具有以下角色 −

• 识别工具和技术的低效分配。

• 跨内部安全系统进行测试。

• 查明风险以保护最关键的数据。

• 发现有关整个基础设施中漏洞和风险的宝贵知识。

• 报告并确定补救建议的优先顺序，以确保安全团队以最有效的方式利用他们的时间，同时保护最大的安全漏洞。