滲透測試的專業發展

引言： 如今，業界嚴重缺乏有經驗的高級滲透測試安全專家。通過滲透測試，安全專家可以與客戶協作，檢查目標企業的防御，查看其是否如愿運行，并且對其網絡中的安全設置提出更改建議。在得到企業許可并完全控制網絡計算機的前提下，“白帽黑客”就可以檢查可被利用的漏洞，發現企業應當建立安全防御的薄弱環節，防止有漏洞的設備和關鍵數據被惡意破壞和利用。

通過滲透測試，安全專家可以與客戶協作，檢查目標企業的防御，查看其是否如愿運行，并且對其網絡中的安全設置提出更改建議。

在得到企業許可并完全控制網絡計算機的前提下，“白帽黑客”就可以檢查可被利用的漏洞，發現企業應當建立安全防御的薄弱環節，防止有漏洞的設備和關鍵數據被惡意破壞和利用。

所以，滲透測試對于檢測并對信息安全風險進行響應而言是一個關鍵的部分。如今，業界嚴重缺乏有經驗的高級滲透測試安全專家。那么，如何成為一個稱職的滲透測試人員？

成為一名滲透測試人員需要具備哪些素質？

滲透測試人員并不是簡單地審計系統而確定可能導致破壞和入侵的問題，而是要采用類似惡意黑客所利用的技術，測試企業基礎架構的抵御能力，測試企業防御措施的真正有效性，測試安全策略的效力，測試企業員工識別社會工程企圖的能力。

企業借助外部和內部的滲透測試，以確認潛在的安全問題，從而全面地修復或避免安全問題。

在使用真實的攻擊技術、滲透測試工具、社交工程技術及任何其它可實施的攻擊技術后，測試人員就會執行威脅評估，并提供經分析性后響應，向基礎架構和安全團隊提供自己的發現和建議。

滲透測試工作可能報酬很高，卻充滿挑戰。下面列示的是在此專業領域獲得成功需要具備的基本素質：扎實的理論知識。獲得專業認證資格，表明在經驗上具備了一定的水平。再認證和繼續學習（例如，參加培訓課程），保持自己的專業技能跟上滲透測試的最新技術和水平。

此外，軟技能也非常重要。技術能力僅僅是成為滲透測試人員的一部分。作為一名滲透測試人員，我們必須擁有黑客的思維，并且擁有測試網絡控制防御的分析技能，還要有確認問題的能力，并在企業網絡遭受真正的攻擊之前能夠對任何潛在的漏洞執行系統評估。

滲透測試是一種職業

專業人士如何成為滲透測試人員？

滲透測試人員可能來自現實中的不同領域。一種常見的情況是，曾經參加過以安全技術為中心的課程或通過培訓而擁有信息安全背景的人員和理解和實施網絡安全強化原則和調查方法的人員，能夠為解決已經確認的問題而進行全面的威脅分析和風險確認，從而熟悉網絡安全強化的原則和調查方法。

在高級水平階段，滲透測試者需要驗證數據安全的法律知識、取證分析、安全的軟件編程、對惡意軟件的逆向工程，進而發展到專家級水平。健全的認證可以覆蓋不同安全機制的基本知識，并且幫助專業人士確定特定領域中的職業方向。

結論

滲透測試者能夠具備所有的黑客技術進而發現目標環境中的系統缺陷，從而幫助改進或強化基礎架構的安全防御并減輕風險。企業需要滲透測試者的原因很明顯：對信息安全的擔心促使企業增加在安全測試方面的努力，用以改進其網絡防御。除了依靠內部工作、傳統安全專家或外部顧問，現代企業正在學會越來越多的依靠滲透測試者的工作，后者能夠應用黑客技術并且創造性地給網絡帶來“真實世界”的攻擊，從而發現缺點和不足，并且在惡意黑客能夠利用漏洞之前就發現漏洞。無論是專門設計來測試整個IT結構的測試，還是用來測試個別系統的滲透測試，都可以有效地確定基礎架構或硬件或軟件中的弱點，還可以評估工作團隊的效率和彈性，以及企業已經準備好的安全策略的效力。

企業應當在部署了新的基礎架構和應用程序后，以及在對基礎架構和應用程序的做出重大變更后（例如，對防火墻規則的變更，更新固件，給軟件打補丁和升級，等等），實施滲透測試。這種對企業有著生死攸關影響的服務只能由有能力的專業人士提供。這種專業的滲透測試人員應當擁有持續的培訓和教育背景，只有這樣，他們才能擁有最新的技能和必要的知識，并能夠在真實的環境中運用，同時發展其職業，使自己勝任此工作。