Test de pénétration - Testeurs

Il y a la question de la protection des données les plus critiques de l'organisation; par conséquent, le rôle d'un testeur d'intrusion est très critique, une erreur mineure peut mettre les deux parties (testeur et son client) en danger.

Par conséquent, ce chapitre traite de divers aspects d'un testeur d'intrusion, y compris sa qualification, son expérience et ses responsabilités.

Qualification des testeurs de pénétration

Ce test ne peut être effectué que par un testeur de pénétration qualifié; par conséquent, la qualification d'un testeur de pénétration est très importante.

Un expert interne qualifié ou un expert externe qualifié peut effectuer le test de pénétration jusqu'à ce qu'il soit indépendant sur le plan de l'organisation. Cela signifie que le testeur de pénétration doit être indépendant de l'organisation de la gestion des systèmes cibles. Par exemple, si une société tierce est impliquée dans l'installation, la maintenance ou le support des systèmes cibles, cette partie ne peut pas effectuer de tests d'intrusion.

Voici quelques conseils qui vous aideront lors de l'appel d'un testeur d'intrusion.

Certification

Une personne certifiée peut effectuer des tests de pénétration. La certification détenue par le testeur est l'indication de ses compétences et de la compétence d'un testeur de pénétration capable.

Voici les exemples importants de certification des tests d'intrusion -

  • Certified Ethical Hacker (CEH).

  • Offensive Security Certified Professional (OSCP).

  • Certifications de test de pénétration CREST.

  • Certification du service de vérification de l'état des TI de Communication Electronic Security Group (CESG).

  • Certifications GIAC (Global Information Assurance Certification), par exemple, GIAC Certified Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), Advance Penetration Tester (GXPN) et GIAC Exploit Researcher.

Expérience passée

Les questions suivantes vous aideront à embaucher un testeur d'intrusion efficace -

  • Combien d'années d'expérience le testeur de pénétration possède-t-il?

  • Est-il un testeur de pénétration indépendant ou travaille-t-il pour une organisation?

  • Avec combien d'entreprises il a travaillé comme testeur d'intrusion?

  • A-t-il effectué des tests de pénétration pour une organisation dont la taille et la portée sont similaires à la vôtre?

  • Quel type d'expérience possède le testeur de pénétration? Par exemple, effectuer des tests de pénétration de la couche réseau, etc.

  • Vous pouvez également demander la référence à d'autres clients pour lesquels il a travaillé.

Lors de l'embauche d'un testeur d'intrusion, il est important d'évaluer l'expérience de test de l'année écoulée de l'organisation pour laquelle il (testeur) a travaillé car elle est liée aux technologies spécifiquement déployées par lui dans l'environnement cible.

En plus de ce qui précède, pour les situations complexes et les exigences typiques du client, il est recommandé d'évaluer la capacité d'un testeur à gérer un environnement similaire dans son projet précédent.

Rôle d'un testeur de pénétration

Un testeur de pénétration a les rôles suivants -

  • Identifiez l'allocation inefficace des outils et de la technologie.

  • Test sur les systèmes de sécurité internes.

  • Identifiez les expositions pour protéger les données les plus critiques.

  • Découvrez une connaissance inestimable des vulnérabilités et des risques dans toute l'infrastructure.

  • Rapports et hiérarchisation des recommandations de correction pour s'assurer que l'équipe de sécurité utilise son temps de la manière la plus efficace, tout en protégeant les plus grandes lacunes de sécurité.