從成本和安全專業(yè)技術(shù)角度來看，選擇企業(yè)內(nèi)部滲透測試比外部顧問更值得考慮，但這并不是簡單的工作。

“擁有內(nèi)部滲透測試人員的好處在于他們非常專注，”安全公司Lares咨詢公司創(chuàng)始人Chris Nickerson表示，“他們能夠追蹤最新的攻擊方式和漏洞，不間斷監(jiān)測系統(tǒng)，以及實踐和提高自己的技能，但是為了實現(xiàn)這些目的，他們必須專注?！?/P>

Nickerson指出，大公司有資本成立完全致力于測試的團隊，而對于大多數(shù)公司而言，滲透測試只是測試人員的部分職責?！皾B透測試延遲或者取消的現(xiàn)象是司空見慣的，因為測試人員有太多其他的工作要處理?！?/P>

雖然兼職滲透測試專家也可以幫助進行滲透測試，但這樣做是很冒險的?！艾F(xiàn)在有非常多各種各樣的滲透測試工具，這些工具也都非常不錯，”他表示，“Metasploit、 Canvas、Core、Nessus等漏洞檢測工具供應(yīng)商花了很長時間來確保安裝他們的工具不會影響正在進行的測試，這是默認的：只要安裝了這些工具，確定了漏洞利用是否可行，工具將被卸載?！?/P>

問題是，這些工具還提供高級別的調(diào)整和定制，那些經(jīng)驗不足的操作人員將會導(dǎo)致問題?！斑@些工具本身并不危險，但是當缺乏經(jīng)驗的測試人員操作和調(diào)控這些工具時，就有可能帶來風險?！?/P>

Secure Network Technologies 公司副總裁Steve Stasiukonis也贊同，“重要服務(wù)器受到影響的話，可能帶來各種問題。當你在測試最敏感的系統(tǒng)時，即使是telnet也要格外小心地運行。”

從這里我們可以看到經(jīng)驗以及專業(yè)知識的重要性，而市場上的測試產(chǎn)品都不包含這些，企業(yè)必須逐漸積累經(jīng)驗和專業(yè)知識，因為沒有捷徑可尋。

最好將內(nèi)部滲透測試分階段進行，Nickerson表示，“最重要的業(yè)務(wù)系統(tǒng)必須由最有經(jīng)驗的測試員進行測試，不管是內(nèi)部測試員還是外部顧問。”

最富經(jīng)驗的專業(yè)內(nèi)部滲透測試人員能執(zhí)行公平的測試嗎?他們對于公司的熟悉度是否會影響他們像外部人員一樣公平地測試呢?“毫無疑問，”Stasiukonis表示，“而且，內(nèi)部測試人員可能對于公司的某些方面測試不到位，例如，嚴格的密碼政策就是內(nèi)部測試人員經(jīng)常忽視的地方，他們對于同事會放寬要求?！?/P>

更嚴重的問題就是，內(nèi)部測試人員可能會高估他們對公司的認識，“內(nèi)部測試人員很容易會認為他們知道公司及其系統(tǒng)的一切信息，尤其是較大型企業(yè)，他們測試他們所知的系統(tǒng)數(shù)量，而卻可能忽略了整個部門甚至整個網(wǎng)絡(luò)?！?/P>

公司的測試狀態(tài)也可能會影響測試結(jié)果，“滲透測試的目的在于檢測企業(yè)系統(tǒng)是否能夠有效防御現(xiàn)實世界威脅，”Nickerson表示，“不需要讓公司知道正在進行的測試?！?/P>

他建議測試人員只通知那些必須知道測試（因為業(yè)務(wù)和運營的重要原因）的人員。

內(nèi)部滲透測試最常被追捧的好處在于節(jié)省成本，但是這里有一些需要考慮的問題。Nickerson認為，不能只從專注于滲透測試的內(nèi)部人員與外部滲透測試人員的成本比較的角度來考慮成本問題，還應(yīng)該考慮內(nèi)部投資的回報情況，投資的回報并不僅僅局限于測試本身以及專業(yè)測試人員帶來的安全利益。

擁有內(nèi)部滲透測試人員的主要好處之一是，測試人員能夠與企業(yè)員工溝通并說明滲透測試是安全重要組成部分以及為什么測試（無論內(nèi)部測試還是外包測試）勝過漏洞評估。

“自動漏洞掃描生成的信息可能不是百分之百準確的，可能不適用于企業(yè)的最重要程序，對于不精通技術(shù)的首席財務(wù)官或者其他執(zhí)行官毫無意義，”他表示，“這些信息并不能像滲透測試一樣提供有效的方法?！?/P>

經(jīng)驗豐富的滲透測試人員可以向執(zhí)行人員展示為什么滲透測試是值得的投資。

例如，告訴他們公司系統(tǒng)的漏洞數(shù)量，郵件無法發(fā)送的原因等，“向首席財政官說明這些漏洞如何影響公司的總帳目，并影響公司的運營，這樣他們就能夠明白問題，”Nickerson表示，“描繪出這些漏洞對現(xiàn)實世界影響的畫面，同時能夠增強企業(yè)的安全教育?！?/P>

Nickerson認為，不斷變化和變異的威脅環(huán)境將會讓越來越多的公司考慮添加內(nèi)部滲透測試，“最重要的在于，給予測試者足夠的時間，讓他們?nèi)烤性跍y試上，并不斷學習技術(shù)和知識，”他表示，“企業(yè)應(yīng)該全面權(quán)衡外部專家花費與內(nèi)部測試人員成本。”  

【編輯推薦】

1. 如何進入滲透測試行業(yè)道德黑客是否需要鑒定
2. 企業(yè)級Web安全滲透測試之SSL篇