Testowanie struktur teleinformatycznych, niejednokrotnie wymaga skorzystania z pomocy doświadczonego testera. Nie jest to oczywiście ten sam test, z którym ma się do czynienia w ramach np. audytu informatycznego. Niemniej do jego przeprowadzenia również wymagane są określone umiejętności. Jak je sprawdzić?
Testy penetracyjne a certyfikacja pentesterów
W świecie pentesterów, istnieje kilka rodzajów certyfikatów, które świadczą o ich wiedzy i profesjonalizmie. Mowa tu o:
- OSCP (Offensive Security Certified Professional) – jest to certyfikat, który potwierdza przede wszystkim ogólną wiedzę na temat testów penetracyjnych. Powinni go posiadać wszyscy pentesterzy, zatrudnieni do ogólnych testów bezpieczeństwa struktury teleinformatycznej.
- OSWP (Offensive Security Wireless Professional) – to certyfikat wydawany dla testerów specjalizujących się w zabezpieczaniu sieci bezprzewodowych. Warto zwrócić na niego uwagę, jeśli oczekuje się próby przejęcia kontroli nad siecią bezprzewodową i wykorzystania jej w dalszych atakach.
- eWPT (eLearnSecurity Web application Penetration Tester) – to już mniej znany certyfikat, niemniej posiadający go specjaliści również są bardzo poszukiwani przez rynek. Dotyczy on przede wszystkim bezpieczeństwa aplikacji webowych, działających w ramach struktur serwisów WWW.
- CREST (Council of Registered Ethical Security Testers) CCT – to certyfikat poświadczający umiejętności techniczne w kontekście bardziej zaawansowanych testów penetracyjnych. Obejmuje on ogólną specjalizację web aplikacji, ale też świadczy o wysokim poziomie wiedzy
- CREST (Council of Registered Ethical Security Testers) CRT – to odmiana certyfikatu o tej samej nazwie (punkt wyżej), która obejmuje nieco niższy stopień kompetencji, niż w przypadku certyfikatu CCT.
Który rodzaj certyfikatu wybrać?
Odpowiednia certyfikacja jest z poziomu zarządcy sieci niezwykle ważna. Wybierając osobę do testów penetracyjnych, warto kierować się przede wszystkim jego specjalizacją. Zdecydowana większość administratorów liczy przede wszystkim na specjalistyczną pomoc testerów (np. w obrębie sieci WiFi). Dotyczy to zwłaszcza tych osób, które działają w ściśle określonym sektorze realizowanych zadań.
Kilka słów podsumowania
To, czy testy penetracyjne okażą się skuteczne, zależy przede wszystkim od ich targetu i kompetencji osoby, która ma je zrealizować, więcej dowiesz się na: www.pwc.pl/pl/uslugi/testy-penetracyjne-bezpieczenstwo-informatyczne.html. Posiadanie odpowiednich certyfikatów znacznie ułatwia wybór pentestera, ale nie zastąpi ono zdolności do kreatywnego myślenia i pomysłowości przy organizacji ataku.
Czytaj także: