test di penetrazione è diventato un elemento essenziale per le aziende che cercano di mantenere una solida posizione di sicurezza informatica. Ma se si sta commissionando un banco di prova per la prima volta, allora si ha la sfida di scegliere l'operatore giusto.
test Pen è un'abilità molto specializzata che richiede qualificato, professionisti esperti quindi è importante che si sente in individui che si fidarsi di effettuare una valutazione.
Dopotutto, si potrebbe essere richiesto di fornire un tester con accesso a sistemi e dati sensibili. Ecco alcune delle domande chiave che avete bisogno di chiedere a un fornitore di penetration test, al fine di rendere i processi decisionali come stress possibile.
Hanno relativa certificazione?
E 'fondamentale che vi fidate vostro fornitore di penetration test per completare il lavoro al massimo tecnica, standard legali ed etici. La prima cosa che avete bisogno di guardare per ottenere la rassicurazione è necessario, è se il provider è completamente formato e qualificato nei servizi che essi offrono.
Cercare fornitori di penetration test che sono CREST accreditati e impiegano hacker etici che possiedono una serie di certificazioni professionali. Questo non solo contribuirà a dimostrare di avere una buona conoscenza delle più recenti tecniche di hacking, ma può essere di fiducia per effettuare valutazioni in modo sicuro, senza danni e disagi per i sistemi.
Possono eseguire una vasta gamma di test?
Va notato che ci sono molti diversi tipi di test di penetrazione. La maggior parte delle aziende richiedono una serie di test diversi per identificare esposizioni interne ed esterne, come pure quelli specificamente relativi alle reti, sistemi e applicazioni.
Questo significa che si potranno beneficiare più di un team di tester di penna che hanno le competenze e l'esperienza per condurre una vasta gamma di valutazioni. Questo include scatola bianca, Blackbox e GreyBox test. Alcuni fornitori di penetration test si basano molto su automazione per effettuare valutazioni, quindi è importante per accertare il livello di test manuale che sarà eseguita come parte di una valutazione.
Un test penna non è sempre di identificare un sacco di vulnerabilità di basso livello, piuttosto più quelli ad alto rischio che strumenti di scansione sono in grado di rilevare.
Hanno un buon track record?
Un fornitore di test penna esperto avrà una buona reputazione nel campo della sicurezza informatica, quindi è una grande idea di verificare se l'azienda in grado di fornire una gamma di riferimenti del cliente e testimonianze da parte di organizzazioni simili alla vostra.
Se un fornitore non può mostrare la prova di aver effettuato un elevato standard di lavoro per le altre imprese, poi a piedi. Non si dovrebbe accontentarsi di lavoro di bassa qualità, quando ci sono molti fornitori affidabili disponibili.
Hanno conoscenze specifiche del settore?
E 'di vitale importanza per stabilire se il provider ha esperienza di lavoro con le organizzazioni nel vostro settore particolare, come questo può influenzare se sono in grado di eseguire la prova completa.
Per esempio, come familiare è tester di un provider con software o applicazioni specifiche che vengono comunemente utilizzati nelle imprese come la vostra? Sono consapevoli dei rischi delle infrastrutture specialista test, come quelli utilizzati nel settore finanziario, settori della sanità e manifatturiero?
Fanno segnalazione e di un feedback?
Quando si parla con un fornitore, è importante stabilire non solo quanto il test di penetrazione sta per essere condotto, ma anche che tipo di feedback che riceverà e come esso sarà comunicato. Molti tester sono in grado di svolgere test, ma non sempre fornire il livello di feedback è necessario dare la priorità e risolvere eventuali rischi individuati.
Si consiglia di scegliere un fornitore che consegnerà un rapporto completo post-valutazione adatto sia per gli stakeholder tecnici e non tecnici. Sempre chiedere di vedere un campione.
Sono flessibili?
Dato che i test di penetrazione è che possa comportare importanti sistemi di collaudo e infrastrutture, è necessario assicurarsi che si sceglie un fornitore di test penna che è flessibile alle esigenze aziendali. Per esempio, test può essere effettuata sia in loco e remoto, così come fuori orario d'ufficio.
Offrono un retest gratuito?
Infine, considerare ciò che accade dopo il test di penetrazione. La vostra azienda sarà probabilmente bisogno di prendere misure per affrontare le vulnerabilità identificate, ma come fai a sapere se tali misure sono efficaci? Troppi aziende adottare misure per risolvere il problema, ma mai convalidare i risultati delle modifiche, il che significa che essi non possono lavorare in un vero e proprio attacco.
Chiedi sempre un fornitore se offre la possibilità di una ri gratuito–test per contribuire al raggiungimento di fiducia che le modifiche apportate sono efficaci.
Circa l'autore: Chester Avey
Chester Avey ha oltre un decennio di esperienza nella sicurezza informatica e la crescita del business consultant. Egli gode di condividere la sua conoscenza con altri professionisti come mentalità attraverso la sua scrittura. Scopri che cosa Chester è stato up su Twitter: @ Chester15611376.
