随着数据泄露的成本达到历史最高水平,组织正在努力主动识别网络上的风险区域。使用渗透测试器进行渗透测试正变得越来越普遍。为了保护自己,企业必须在黑客发现漏洞之前了解其风险区域。组织可以通过防范弱点或消除弱点来降低攻击风险。
IBM 2022 年数据泄露成本发现,每次数据泄露平均造成 435 万美元的损失,比 2020 年增长 12.7%。对于许多企业而言,泄露正成为“何时”而非“如果”的命题。在参与该研究的组织中,83% 的组织经历过不止一次数据泄露——只有 17% 的组织表示这是他们的第一次。
因此,许多组织正在转向渗透测试以提高整体安全性。
什么是渗透测试?
在渗透测试期间,渗透测试人员通过尝试闯入应用程序或网络来确定应用程序或网络的安全程度。渗透测试人员经常使用黑盒测试,测试人员不知道底层基础设施、应用程序或代码。该过程允许渗透测试人员从外部黑客的角度进行测试,并使用自动化流程来测试漏洞。
也可以使用其他形式的渗透测试。白盒渗透测试依赖于测试人员对基础设施的了解,可以使用专门的工具快速测试安全性。灰盒测试混合了白盒和黑盒测试,因为测试人员使用个人对基础设施的了解以及手动和自动工具来利用弱点。
渗透测试为公司带来了很多好处,包括基础设施知识和更少的错误。虽然一些公司对初始价格犹豫不决,但该方法通过降低风险和违规可能性节省了大量成本。受合规指南监管的公司通常将渗透测试作为其合规流程的一部分。
虽然渗透测试类似于道德黑客,但存在一些差异。渗透测试主要侧重于破坏特定系统以接管环境。另一方面,道德黑客使用所有黑客技术。道德黑客通常不是公司员工,尽管有些公司聘请道德黑客作为全职员工。与漏洞赏金计划有点相似,但它们更关注所有类型的漏洞,而不仅仅是破坏系统。由于漏洞赏金计划对网络安全社区开放,因此外部黑客通常会参与,偶尔也会有内部员工参与。
渗透测试员的职责
作为承包商工作的渗透测试人员通常负责遵循由招聘机构或组织设计的测试协议。全职渗透测试人员通常从一个目标开始,然后确定哪些工具和方法最能帮助他们实现目标。完成测试后,渗透测试人员会编写详细说明结果的文档,以帮助进行安全更改。
除了技术技能外,渗透测试人员还需要良好的书面和口头沟通技巧。渗透测试人员通常需要与 IT 部门协作,以帮助根据测试结果创建解决方案。由于现实世界中发生的攻击类型和网络罪犯使用的技术,渗透测试人员需要掌握网络安全行业的最新趋势。
追求渗透测试者的职业
一些公司要求渗透测试人员拥有计算机科学学位或网络安全证书。然而,许多其他人接受在职经验——尤其是网络安全行业的经验。虽然有些公司可能需要学士学位,但其他公司会寻找拥有数字徽章或证书的候选人。
一些公司聘请内部渗透测试人员,尤其是白盒渗透测试。但是,为特定项目聘用的合同渗透测试人员通常会进行黑盒渗透测试,以确保他们事先不了解基础设施。如果正在寻找渗透测试员的工作,请考虑同时寻找全职工作和合同工。
寻找全职工作的渗透测试人员通常会在希望确保其基础设施安全的非技术公司找到工作。其他测试人员为为其他公司提供服务的网络安全公司工作。随着风险升级,IT 在网络安全方面的支出不断增加,对渗透测试人员的需求也可能会继续攀升。
总的来说,渗透测试对于技术工作者或想要进入网络安全领域的人来说是一个很好的入门级职业。虽然需要一些技术知识,但许多工具和技术都是在工作中学习的。