侵入テストは、堅牢なサイバーセキュリティ体制を維持しようとしている企業にとって不可欠になっています. ただし、初めてテストを試運転する場合, 次に、適切なプロバイダーを選択するという課題があります.
ペネトレーションテストは、資格を必要とする非常に専門的なスキルです, 知識豊富な専門家なので、個人に自信を持っていることが重要です 評価を実行するための信頼.
結局, テスターに機密性の高いシステムやデータへのアクセスを提供する必要がある場合があります. 意思決定プロセスを可能な限りストレスのないものにするために、ペンテストプロバイダーに尋ねる必要がある重要な質問のいくつかを次に示します。.
関連する認証を持っていますか?
ペンテストプロバイダーを信頼して、最高の技術を駆使して作業を完了することが重要です。, 法的および倫理的基準. あなたが必要とする安心を得るためにあなたが最初に見る必要があること, プロバイダーが提供するサービスについて十分なトレーニングを受け、資格を持っているかどうかです。.
次のような侵入テストプロバイダーを探します CREST認定 さまざまな専門資格を持つ倫理的なハッカーを採用します. これは、彼らが最新のハッキング技術について十分な知識を持っていることを示すのに役立つだけでなく、安全に評価を行うために信頼できるものです。, システムに損傷や混乱を与えることなく.
さまざまなテストを実行できますか?
ペネトレーションテストにはさまざまな種類があることに注意してください。. ほとんどの企業は、内部および外部のエクスポージャーを特定するために、さまざまなテストを必要としています。, 特にネットワークに関連するものと同様に, システムとアプリケーション.
これは、幅広い評価を実施するスキルと経験を持つペンテスターのチームから最も恩恵を受けることを意味します. これも 白い箱, ブラックボックスとグレーボックスのテスト. 一部の侵入テストプロバイダーは、評価を行うために自動化に大きく依存しています, したがって、評価の一部として実行される手動テストのレベルを確認することが重要です。.
侵入テストは、必ずしも多くの低レベルの脆弱性を特定することではありません, スキャンツールが検出できないリスクの高いもの.
彼らは良い実績を持っていますか?
経験豊富なペネトレーションテストプロバイダーは、サイバーセキュリティの分野で高い評価を得ているため、企業が自分と同様の組織からさまざまなクライアントの参照や推薦状を提供できるかどうかを確認することをお勧めします。.
プロバイダーが他のビジネスのために高水準の仕事をしたという証拠を示すことができない場合, その後、立ち去る. 評判の良いプロバイダーがたくさんある場合は、質の低い仕事に甘んじるべきではありません。.
彼らは特定の業界知識を持っていますか?
プロバイダーが特定の業界の組織と協力した経験があるかどうかを確認することが重要です, これは、徹底的なテストを実行できるかどうかに影響を与える可能性があるためです.
例えば, プロバイダーのテスターは、自分のようなビジネスで一般的に使用されている特定のソフトウェアまたはアプリケーションにどれほど精通しているか? 彼らは専門家のインフラストラクチャをテストするリスクを認識していますか, 金融で使用されるものなど, ヘルスケアおよび製造業?
彼らは報告し、フィードバックを提供しますか?
プロバイダーと話すとき, ペネトレーションテストがどのように行われるかだけでなく、確立することが重要です, また、どのような種類のフィードバックを受け取り、どのように伝達されるかについても説明します。. 多くのテスターはテストを実行できますが、特定されたリスクに優先順位を付けて対処するために必要なレベルのフィードバックを常に提供するとは限りません。.
技術的および非技術的な利害関係者の両方に適した包括的な事後評価レポートを提供するプロバイダーを選択する必要があります. 常にサンプルを見るように頼む.
彼らは柔軟ですか?
ペネトレーションテストには、重要なシステムとインフラストラクチャのテストが含まれる可能性が高いことを考えると, ビジネスニーズに柔軟に対応できる侵入テストプロバイダーを選択する必要があります. 例えば, テストはオンサイトとリモートの両方で実行できます, 通常の営業時間外.
彼らは無料の再テストを提供していますか?
ついに, ペネトレーションテスト後に何が起こるかを考えてください. あなたのビジネスは、特定された脆弱性に対処するための措置を講じる必要があるでしょうが、これらの対策が効果的であるかどうかをどのように知ることができますか? あまりにも多くの企業が問題を解決するための措置を講じています, ただし、変更の結果を検証することはありません, つまり、実際の攻撃では機能しない可能性があります.
無料の再オプションを提供しているかどうかを常にプロバイダーに確認してください–行った変更が効果的であるという確信を得るのに役立つテスト.
著者について: チェスターエイビー
チェスターエイビーは、サイバーセキュリティおよびビジネス成長コンサルタントで10年以上の経験があります. 彼は執筆を通じて他の志を同じくする専門家と知識を共有することを楽しんでいます. チェスターがTwitterで他に何をしてきたかを調べてください: @ Chester15611376.
