存在保护组织中最关键数据的问题。因此，渗透测试人员的角色至关重要，较小的错误会使双方(测试人员及其客户)面临风险。

因此，本章讨论渗透测试仪的各个方面，包括其资格，经验和职责。

渗透测试员的资格

该测试只能由合格的渗透测试仪执行；因此，渗透测试员的资格非常重要。

合格的内部专家或合格的外部专家都可以执行渗透测试，直到他们在组织上独立为止。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如，如果第三方公司参与目标系统的安装，维护或支持，则该第三方无法执行渗透测试。

以下是一些指南，可在致电渗透测试人员时为您提供帮助。

资质认证

认证人员可以执行渗透测试。测试人员持有的认证表明他的技能和熟练的渗透测试人员的能力。

以下是渗透测试认证的重要示例-

• 认证道德黑客(CEH)。

• 进攻性安全认证专家(OSCP)。

• CREST渗透测试认证。

• 通讯电子安全组(CESG)IT健康检查服务认证。

• 全球信息保证认证(GIAC)认证，例如GIAC认证渗透测试仪(GPEN)，GIAC Web应用程序渗透测试仪(GWAPT)，高级渗透测试仪(GXPN)和GIAC Exploit Researcher。

过去的经历

以下问题将帮助您聘请有效的渗透测试人员-

• 渗透测试仪有多少年的经验?

• 他是独立的渗透测试员还是在组织工作?

• 他曾在几家公司担任渗透测试员?

• 他是否对任何规模和范围与您的组织相似的组织进行渗透测试?

• 渗透测试仪有什么经验?例如，进行网络层渗透测试等

• 您也可以要求他工作的其他客户提供参考。

聘用渗透测试人员时，重要的是评估其(测试人员)所服务的组织的过去一年的测试经验，因为这与他在目标环境中专门部署的技术有关。

除上述内容外，对于复杂的情况和典型的客户要求，建议评估测试人员在其早期项目中处理类似环境的能力。

渗透测试仪的作用

渗透测试仪具有以下作用-

• 确定工具和技术的低效分配。

• 跨内部安全系统进行测试。

• 精确定位曝光以保护最关键的数据。

• 发现整个基础架构中有关漏洞和风险的宝贵知识。

• 报告补救建议并按优先级排列，以确保安全团队以最有效的方式利用他们的时间，同时保护最大的安全漏洞。