隨著數(shù)據泄露的成本達到歷史最高水平，組織正在努力主動識別網絡上的風險區(qū)域。使用滲透測試器進行滲透測試正變得越來越普遍。為了保護自己，企業(yè)必須在黑客發(fā)現(xiàn)漏洞之前了解其風險區(qū)域。組織可以通過防范弱點或消除弱點來降低攻擊風險。

IBM 2022 年數(shù)據泄露成本發(fā)現(xiàn)，每次數(shù)據泄露平均造成 435 萬美元的損失，比 2020 年增長 12.7%。對于許多企業(yè)而言，泄露正成為“何時”而非“如果”的命題。在參與該研究的組織中，83% 的組織經歷過不止一次數(shù)據泄露——只有 17% 的組織表示這是他們的第一次。

因此，許多組織正在轉向滲透測試以提高整體安全性。

什么是滲透測試？

在滲透測試期間，滲透測試人員通過嘗試闖入應用程序或網絡來確定應用程序或網絡的安全程度。滲透測試人員經常使用黑盒測試，測試人員不知道底層基礎設施、應用程序或代碼。該過程允許滲透測試人員從外部黑客的角度進行測試，并使用自動化流程來測試漏洞。

也可以使用其他形式的滲透測試。白盒滲透測試依賴于測試人員對基礎設施的了解，可以使用專門的工具快速測試安全性?；液袦y試混合了白盒和黑盒測試，因為測試人員使用個人對基礎設施的了解以及手動和自動工具來利用弱點。

滲透測試為公司帶來了很多好處，包括基礎設施知識和更少的錯誤。雖然一些公司對初始價格猶豫不決，但該方法通過降低風險和違規(guī)可能性節(jié)省了大量成本。受合規(guī)指南監(jiān)管的公司通常將滲透測試作為其合規(guī)流程的一部分。

雖然滲透測試類似于道德黑客，但存在一些差異。滲透測試主要側重于破壞特定系統(tǒng)以接管環(huán)境。另一方面，道德黑客使用所有黑客技術。道德黑客通常不是公司員工，盡管有些公司聘請道德黑客作為全職員工。與漏洞賞金計劃有點相似，但它們更關注所有類型的漏洞，而不僅僅是破壞系統(tǒng)。由于漏洞賞金計劃對網絡安全社區(qū)開放，因此外部黑客通常會參與，偶爾也會有內部員工參與。

滲透測試員的職責

作為承包商工作的滲透測試人員通常負責遵循由招聘機構或組織設計的測試協(xié)議。全職滲透測試人員通常從一個目標開始，然后確定哪些工具和方法最能幫助他們實現(xiàn)目標。完成測試后，滲透測試人員會編寫詳細說明結果的文檔，以幫助進行安全更改。

除了技術技能外，滲透測試人員還需要良好的書面和口頭溝通技巧。滲透測試人員通常需要與 IT 部門協(xié)作，以幫助根據測試結果創(chuàng)建解決方案。由于現(xiàn)實世界中發(fā)生的攻擊類型和網絡罪犯使用的技術，滲透測試人員需要掌握網絡安全行業(yè)的最新趨勢。

追求滲透測試者的職業(yè)

一些公司要求滲透測試人員擁有計算機科學學位或網絡安全證書。然而，許多其他人接受在職經驗——尤其是網絡安全行業(yè)的經驗。雖然有些公司可能需要學士學位，但其他公司會尋找擁有數(shù)字徽章或證書的候選人。

一些公司聘請內部滲透測試人員，尤其是白盒滲透測試。但是，為特定項目聘用的合同滲透測試人員通常會進行黑盒滲透測試，以確保他們事先不了解基礎設施。如果正在尋找滲透測試員的工作，請考慮同時尋找全職工作和合同工。

尋找全職工作的滲透測試人員通常會在希望確保其基礎設施安全的非技術公司找到工作。其他測試人員為為其他公司提供服務的網絡安全公司工作。隨著風險升級，IT 在網絡安全方面的支出不斷增加，對滲透測試人員的需求也可能會繼續(xù)攀升。

總的來說，滲透測試對于技術工作者或想要進入網絡安全領域的人來說是一個很好的入門級職業(yè)。雖然需要一些技術知識，但許多工具和技術都是在工作中學習的。