Четверг, 21 января, 14:50
дома безопасность Тест на проникновение: Как правильно выбрать пентестер

Тест на проникновение: Как правильно выбрать пентестер

Есть несколько причин, почему ваш бизнес может захотеть нанять тестера проникновения. Для многих предприятий первое тестирование на проникновение происходит по запросу потенциального делового партнера. Чтобы заключить крупную сделку, ваш партнер просит вас нанять тестера проникновения для проверки вашей безопасности. программное обеспечение вашей команды. В рамках контракта вы классифицируете обнаруженные ими уязвимости и исправляете любые важные проблемы. Другие компании хотят провести тестирование на проникновение в рамках процесса повышения своей безопасности. Может быть, ваша компания пытается обеспечить большую инвестиции, взять на себя более крупных клиентов или находятся на грани приобретения.

Тестирование на проникновение

Какой бы ни была причина, выбор того, кто будет проводить тест на проникновение, - это процесс, которого вы никогда раньше не делали. Обычно нужно найти кого-то в короткие сроки. Однако вы не хотите найти кого-то, кто будет делать плохую работу, и вы не хотите платить больше, чем того стоят их навыки. Тест на проникновение - это возможность для вашего бизнеса улучшить свое отношение к безопасности. Многие компании совершают ошибку, платя за настоящий тест на проникновение, а затем сразу игнорируют все результаты.

Так как же выбрать правильного пентестера, быстро и в размере, который соответствует вашему бюджету? В этой статье мы рассмотрим несколько советов о том, как найти подходящего человека.

Используйте свою бизнес-сеть

Этот совет кажется очевидным, поэтому он первый в списке. Это также совет, который забывают их руководители. бизнес, Многие бизнес-лидеры передадут исследование для тестера на проникновение. Назначение такой работы может показаться вам не очень привлекательным, но если вы сами оцениваете потенциальных тестировщиков, вы определенно сделаете лучший выбор, особенно если вы также получите рекомендации для конкретных людей или компаний, которые проходят тестирование в вашем бизнесе.

Использование вашей сети для поиска пентестера - это больше, чем просто спросить, кто хорош. Вместо этого вы можете использовать свою сеть, чтобы оценить навыки человека, которого вы, скорее всего, наймете. Например: самая важная способность для тестера на проникновение - это коммуникация. По окончании контракта ваш пентестер сформирует отчет. В этом отчете будут описаны выявленные уязвимости, способы их обнаружения и их относительная серьезность. Ключевым аспектом этого отчета является то, что он предназначен для понимания как техническим персоналом, так и руководством бизнеса. Это означает, что вам нужно найти человека, который чрезвычайно общителен.

Помимо понимания основ навыки и другие формы общения, еще одна вещь, которой может руководствоваться ваша деловая сеть, - это методология тестирования. Как профессионалы во всех областях работы, тестеры проникновения имеют свой собственный стиль работы. Некоторые склонны держать это при себе, в то время как другие сообщают о том, как работают их команды. Некоторые просто запишут каждую уязвимость, а другие сядут с вашим техническим персоналом, чтобы объяснить, откуда появилась уязвимость и как ее избежать в будущем.

Общаясь с людьми из вашей деловой сети, вы можете быть уверены, что нанятый вами тестер отвечает потребностям вашей команды.

Проверьте их полномочия

В большей части технологического мира сертификаты не играют очень важной роли. Это не так в мире тестирования на проникновение. Есть некоторые тесты на проникновение, которые очень важны. Если у вашего пентестера есть один (или несколько) из них сертификаты, вы можете быть уверены, что они знают базовый уровень квалификации. Лучшие сертификаты безопасности также сопровождаются моральным элементом, удостоверяющим, что контроллер не будет использовать полученные им знания о вашей системе для вторжения в нее позже. Вы не хотите нанимать пентестера для выявления уязвимостей в вашей системе, а затем красть данные о ваших клиентах.

В мире тестирования на проникновение три сертификата считаются достаточно хорошими:

Любой тестер с одним из этих сертифицированных сертификатов, вероятно, будет хорошо служить вашему бизнесу.

pentester

Убедитесь, что у них есть опыт

Тестирование на проникновение - сложная область. Как правило, вы не хотите нанимать кого-то, только начинающего. Ваш бизнес платит хорошие деньги, чтобы нанять кого-нибудь, чтобы найти уязвимости в вашем программном обеспечении. Им действительно нужно это сделать. К сожалению, может быть трудно узнать, очень ли специализирован ваш пентестер. Страх двойной, если их нет сертификация, Конечно, если они, например, прошли двенадцать тестов на проникновение, но вы не были проверены кем-то, кому вы доверяете, вы не знаете, насколько хорошо они это сделали. Также вероятно, что вся их предыдущая работа покрыта NDA (соглашение о неразглашении).

Многие крупные компании (например, Google) будут устанавливать исправления ошибок, где они будут платить исследователям безопасности, чтобы найти ошибки в программного обеспечения. их. Это не настоящий тест на проникновение, но он очень близок. Найти пентестера, прошедшего программу поощрения уязвимостей в одной или нескольких компаниях, вероятно, будет хорошим выбором. Знание того, как выявлять и описывать ошибки, означает, что они обладают многими навыками, необходимыми для хорошего тестировщика на проникновение. Бонусы от ошибок также служат хорошим моральным испытанием. А тестер тот, кто обнаружит уязвимость и ответственно расскажет ответственной компании, скорее всего, тот, кому вы можете доверять.

Еще лучшая проверка этики - публичное выявление уязвимостей. Это процесс, с помощью которого исследователи безопасности выявляют публичные уязвимости в различном программном обеспечении без оплаты. Может быть программное обеспечение появился в базе данных. Обнаружение публично выявленных уязвимостей не весело, но это лучше, чем узнавать о них, потому что кто-то ими воспользовался.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...

Microsoft: «нулевое доверие» защищает от изощренных хакерских атак

Согласно Microsoft, методы, использованные хакерами SolarWinds, были сложными, но распространенными и предотвратимыми. Чтобы избежать атак в будущем ...

США: Twitter блокирует аккаунт посольства Китая из-за «дегуманизации»

Твиттер заявил, что заблокировал аккаунт посольства Китая в США за твит о его женщинах ...

Жертвы программ-вымогателей платят выкуп, чтобы предотвратить утечку их данных

Хранение резервных копий очень важно, особенно в случае атак программ-вымогателей. Однако похоже, что хакеры используют новые методы, с ...

Поклонники QAnon: разочарованы в социальных сетях после приведения Байдена к присяге

Некоторые сторонники QAnon выразили разочарование в онлайн-форумах и чатах по поводу приведения к присяге Джо Байдена. Наиболее...

COVID-19: Amazon хочет помочь Байдену распространять вакцины

Amazon предложила помочь президенту Байдену распространять вакцины от COVID-19. Письмо от Дэйва Кларка, вице-президента ...

Nitro PDF: утечка базы данных с 77 миллионами пользовательских файлов!

20 января хакер просочился из украденной базы данных, содержащей адреса электронной почты, имена и пароли для более ...

Хакеры бесплатно предоставляют онлайн 2 миллиона пользовательских файлов Pixlr!

Хакеры слили 2 миллиона пользовательских файлов Pixlr, содержащих информацию, которую затем можно было использовать для выполнения ...