隨著數(shù)據(jù)泄露的成本達(dá)到歷史最高水平，組織正在努力主動識別網(wǎng)絡(luò)上的風(fēng)險區(qū)域。使用滲透測試器進(jìn)行滲透測試正變得越來越普遍。為了保護(hù)自己，企業(yè)必須在黑客發(fā)現(xiàn)漏洞之前了解其風(fēng)險區(qū)域。組織可以通過防范弱點或消除弱點來降低攻擊風(fēng)險。

IBM 2022 年數(shù)據(jù)泄露成本發(fā)現(xiàn)，每次數(shù)據(jù)泄露平均造成 435 萬美元的損失，比 2020 年增長 12.7%。對于許多企業(yè)而言，泄露正成為“何時”而非“如果”的命題。在參與該研究的組織中，83% 的組織經(jīng)歷過不止一次數(shù)據(jù)泄露——只有 17% 的組織表示這是他們的第一次。

因此，許多組織正在轉(zhuǎn)向滲透測試以提高整體安全性。

什么是滲透測試？

在滲透測試期間，滲透測試人員通過嘗試闖入應(yīng)用程序或網(wǎng)絡(luò)來確定應(yīng)用程序或網(wǎng)絡(luò)的安全程度。滲透測試人員經(jīng)常使用黑盒測試，測試人員不知道底層基礎(chǔ)設(shè)施、應(yīng)用程序或代碼。該過程允許滲透測試人員從外部黑客的角度進(jìn)行測試，并使用自動化流程來測試漏洞。

也可以使用其他形式的滲透測試。白盒滲透測試依賴于測試人員對基礎(chǔ)設(shè)施的了解，可以使用專門的工具快速測試安全性?；液袦y試混合了白盒和黑盒測試，因為測試人員使用個人對基礎(chǔ)設(shè)施的了解以及手動和自動工具來利用弱點。

滲透測試為公司帶來了很多好處，包括基礎(chǔ)設(shè)施知識和更少的錯誤。雖然一些公司對初始價格猶豫不決，但該方法通過降低風(fēng)險和違規(guī)可能性節(jié)省了大量成本。受合規(guī)指南監(jiān)管的公司通常將滲透測試作為其合規(guī)流程的一部分。

雖然滲透測試類似于道德黑客，但存在一些差異。滲透測試主要側(cè)重于破壞特定系統(tǒng)以接管環(huán)境。另一方面，道德黑客使用所有黑客技術(shù)。道德黑客通常不是公司員工，盡管有些公司聘請道德黑客作為全職員工。與漏洞賞金計劃有點相似，但它們更關(guān)注所有類型的漏洞，而不僅僅是破壞系統(tǒng)。由于漏洞賞金計劃對網(wǎng)絡(luò)安全社區(qū)開放，因此外部黑客通常會參與，偶爾也會有內(nèi)部員工參與。

滲透測試員的職責(zé)

作為承包商工作的滲透測試人員通常負(fù)責(zé)遵循由招聘機構(gòu)或組織設(shè)計的測試協(xié)議。全職滲透測試人員通常從一個目標(biāo)開始，然后確定哪些工具和方法最能幫助他們實現(xiàn)目標(biāo)。完成測試后，滲透測試人員會編寫詳細(xì)說明結(jié)果的文檔，以幫助進(jìn)行安全更改。

除了技術(shù)技能外，滲透測試人員還需要良好的書面和口頭溝通技巧。滲透測試人員通常需要與 IT 部門協(xié)作，以幫助根據(jù)測試結(jié)果創(chuàng)建解決方案。由于現(xiàn)實世界中發(fā)生的攻擊類型和網(wǎng)絡(luò)罪犯使用的技術(shù)，滲透測試人員需要掌握網(wǎng)絡(luò)安全行業(yè)的最新趨勢。

追求滲透測試者的職業(yè)

一些公司要求滲透測試人員擁有計算機科學(xué)學(xué)位或網(wǎng)絡(luò)安全證書。然而，許多其他人接受在職經(jīng)驗——尤其是網(wǎng)絡(luò)安全行業(yè)的經(jīng)驗。雖然有些公司可能需要學(xué)士學(xué)位，但其他公司會尋找擁有數(shù)字徽章或證書的候選人。

一些公司聘請內(nèi)部滲透測試人員，尤其是白盒滲透測試。但是，為特定項目聘用的合同滲透測試人員通常會進(jìn)行黑盒滲透測試，以確保他們事先不了解基礎(chǔ)設(shè)施。如果正在尋找滲透測試員的工作，請考慮同時尋找全職工作和合同工。

尋找全職工作的滲透測試人員通常會在希望確保其基礎(chǔ)設(shè)施安全的非技術(shù)公司找到工作。其他測試人員為為其他公司提供服務(wù)的網(wǎng)絡(luò)安全公司工作。隨著風(fēng)險升級，IT 在網(wǎng)絡(luò)安全方面的支出不斷增加，對滲透測試人員的需求也可能會繼續(xù)攀升。

總的來說，滲透測試對于技術(shù)工作者或想要進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的人來說是一個很好的入門級職業(yè)。雖然需要一些技術(shù)知識，但許多工具和技術(shù)都是在工作中學(xué)習(xí)的。