要求一名安全顾问。


  Share  
|


有某些限制条件,你必须满足,为了要成为一个有效的渗透测试仪在一个自由职业顾问的角色。 这项要求是针对你的级别的安全技能,你的系统和网络知识,研究深度和广度的工具,你的处置,以及操作系统和硬件上,你使用它们。 也是至关重要的是,你注意记录保存及维护道德的安全。 潜在的雇主安全顾问表演穿透服务,应考虑以下名单之前雇用一名顾问。

技巧集

一名安全顾问必须至少在系统管理员级别(一线两黑客) ,以有效提供安全咨询服务。 这是不是说剧本kiddies不承认安全漏洞或不能开刀-如前所述,他们经常做更大的破坏,黑客比在任何其他的水平。 剧本kiddies一般不具备一个完整的认识工具和功勋,他们使用的,所以他们要么小姐危急漏洞或潜在地损害系统。

作为支付顾问,你是预料明确断言,你在做什么和所有潜在的影响,你的行动可能。 具体地说,你应该能维护你们的选择工具,你为什么使用它,你用它在测试。 你也可望回答任何和所有有关的问题的一种工具的配置。 部分这些安全工具,可以造成相当大的损害或停机,以网络,如果没有正确使用。 在总结该次测试,你会被要求阐明所采用的方法来穿透系统,并提供建议,就如何解决安全漏洞期间确定测试。

知识

成功的安全顾问,要熟悉几件技术,如防火墙,入侵侦测系统,嗅探器,审计工具,认证机制-不胜枚举。 而它当然是可取的是专家,在许多技术作为可能的情况下,测试至少要熟悉如何科技工程(和产品,实施科技) ,以找到办法绕过保安说,这些系统提供的。 测试员应了解,在所有主要的操作系统( windows操作系统,在unix , mac os等,并在可能的威) ,并在一方面是专家。 在深入了解tcp / ip和网络协议的管理。 知识的应用程式或过去的编程经验,也能有所帮助,因为很多新的功勋,不断释放的"工作"代码偶尔的漏洞。 这些经验来得心应手写作时的各种攻击,如缓冲区溢出。

测试员必须能够使用各种黑客工具,脚本和功勋,以检验已知的漏洞和薄弱环节。 此外,测试器应能获得脆弱性服务,可以让他或她了解最新的黑客工具,脚本,并利用以及新的安全漏洞发现,在所有主要的硬件,软件和操作系统。 这不是想要的是一个付费服务,但它必须是可靠的和不断更新的,它必须提供资料,就如何利用已知的漏洞,以及提供全面的收集,利用和工具。

保持电流对最新的安全发展和趋势,是至关重要的,任何成功的安全顾问。 安全顾问要订阅,并参与收集了安全电子邮件清单。 除了阅读技术资料,安全顾问公司应定期审查什么是被派往"地下"的网站。 最好的办法,以防范或利用威胁,是要通过认识他们。

工具箱

顾问制定一个收集有用的软件,工具包,工具和脚本的演出,所有类型的安全保卫工作,如漏洞检测,渗透测试,拨号上网的渗透率,互联网渗透,拒绝服务,密码破解,缓冲区溢出,和风险评估。 这个工具集应涵盖这两个窗口( 9x/nt/2000 )和unix (包括变种, linux和惠普/ ux系统,艾克斯, irix的,投资推广署署长/ ux系统,各种bsd版本,等)的作业系统。 正如你自己的技术开发,你可以找到工具,更好地开展工作,为你的作风。

硬件

渗透测试往往利用了大量的cpu时间和带宽。 更强大的机器,更好的工作效率。 我们发现了双启动的linux /新台币的笔记本电脑(与最新的中央处理器,最内存,并尽可能快地) ,以得到充分的配置。 一台笔记本电脑,往往不如台式机,因为它具有可移动性。 运行vmware允许您同时运行两种操作系统同时进行。 这增加了便利,在这方面的工具,一般可用于至少一个这些环境的,但它需要更多花费而言,处理器速度和内存。

此外,经营击键捕获公用事业是一个有效的途径日志考验。 这些公用设施记录和时间戳所有活动,在击键水平,在一定程度上剥离备存纪录的负担从你的笔记本电脑。

备存纪录

保持准确,详细的记录是一个关键活动,普及率测试。 我们建议您记录提供足够详细地再现渗透测试的步骤。 在不幸的事件,该公司应声称一名顾问,负责所引起的损害结果的渗透测试,审查记录,将成为第一个步骤,在解决这个问题。

记录应详细说明一切,这是表演过程中的测试,其中包括每一个工具的使用和每一个指挥签发的,而且系统或ip地址,以对它们被广泛使用。 一个有用的做法是将你的文件程序,你履行他们,并用最后一部分,一天打字了你的笔记,并记录结果。

偶尔系统管理员可能会指责测试仪的负责袭击事件发生之前或之后的工作表现。 为了抵御这些指控,详细的文件规定。 从原木击键捕获公用事业以及你自己的笔记提供了基础的保卫战。

它不仅是重要的是要跟踪的行动表现在渗透测试,它也是重要的是要追踪所有收集到的资料对你的客户。 这可能包括信息的弱点,在客户端的网络,密码档案,业务流程,以及任何知识产权如单据对正在申请专利的过程。 但我们必须保持这一信息,使您可以提交给客户验证,你就可以访问它,并强调指出,重要的薄弱环节,让您获得它。 不过,所有获得的资料,从客户应被视为高度机密。 如果这一信息被走出来,以黑客或竞坚定的,它可以把客户在市场竞争中处于不利地位,导致了资本损失。 此外,新闻的一个成功的渗透测试,也可能导致下降的消费者信心指数。

伦理

渗透测试订婚的约束范围和篇幅阐述在规则中的参与。 这些规则的具体办法由客户端和使本组织能够感觉舒适,足以让测试得以进行。 这些规则解决问题的拒绝服务,联络信息,项目的范围和时间表。 这一信息提供了国界的接触,并不能走样。

在这里的问题是信任。 其中一个关键的东西,安全顾问,以提供其客户,是保证和信心,而顾问公司正研究在客户端的安全,他们不会被种植后门或损害客户的销售网络。 不幸的是,没有脚本或工具,保证顾问的完整性。 各顾问公司必须精心保护他或她的完整性,对每一个接触和转让。 如果你的诚信受到质疑,甚至有一次,你也不会收回,由有关指控。 有一点空间误差,意外,还是问题。 渗透测试需要客户提供了大量的信托,以一名顾问。 这份信任,必须加以保护。

这是一篇文章说,由亚伯拉罕汉弗莱

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions