Se ho bisogno di assumere Penetration Tester, quali sono le procedure da seguire e come esaminare i candidati per conoscere le loro capacità e qualifiche.
Inoltre, ho bisogno di sapere quali sono gli esami / certificati che dovrei cercare nell'impiegato e per me.
Se non hai esperienza con l'assunzione di "hacker", sembra che tu voglia essere più sicuro, ma potrebbe non avere ancora il bisogno maggiore. Vorrei prendere in considerazione di lavorare con una società di consulenza stimabile su alcuni piccoli impegni. Guarda come fanno le loro valutazioni e che tipo di deliverable forniscono. Metti in dubbio tutto ciò che fanno, e ogni rapporto che ti danno, ogni scoperta. Mentre inizialmente le assumi per i loro servizi, ciò che ottieni a lungo termine è la loro metodologia, stile, ecc. Assicurati di interagire con i veri tester di penna. Per alcune grandi aziende, l'esternalizzano all'estero e mettono di fronte i ragazzi locali per spiegare i risultati. Cerca di insistere con i tester locali per venire sul posto. Difficilmente sarai in grado di rubare i consulenti che lavorano per le clausole di non concorrenza nel tuo contratto, ma potrebbero avere amici, ecc. Scegli il loro cervello il più possibile.
Un'altra opzione sarebbe quella di trovare meetup locali per ISSA, ISACA, o più mani su gruppi di sicurezza come quelli scorporati da b-sides (ad esempio, Chicago BurbSec ). Ci sono spesso persone in questi tipi di eventi in cerca di lavoro o che conoscono qualcuno che raccomandano.
Personalmente, ho messo un valore basso sui certs. C'è un buon numero di "tailleur" come i tipi di hacker che li perseguono, ma la maggior parte di loro sono solo test. Vuoi schermare la persona e le sue conoscenze, il che potrebbe essere difficile se tu stesso non possiedi uno sfondo da hacker. Potresti voler provare un cacciatore di teste, ma i cacciatori di teste sono venditori e non sono adatti a tutte le aziende. In termini di certs, uno dei migliori è la certificazione di sicurezza offensiva Professionista perché è una certificazione per le mani e vogliono rendere difficile il passaggio; hanno anche una buona attenzione alla documentazione. La comunicazione e la documentazione sono in ultima analisi importanti quanto la ricerca di problemi di sicurezza. Potresti voler vedere se hanno un CISA o un CISSP, ma ci sono molte persone con quei certificati che non sono a portata di mano o che non si concentrano in quell'area. Ci sono altre cose come Certified Ethical Hacker e Security+ , e GIAC ha un numero di cerali più specializzati GPEN e GWAPT che potrebbe essere utile. In definitiva, i certs sono una considerazione, ma tu vuoi valutare la conoscenza dell'individuo - potrebbe esserci un ottimo tester di penna che non si è mai preso la briga di spendere tempo e denaro, mentre su una domanda test solo qualcuno ha appena studiato bene.
Inoltre, quando assumi hacker o pen-testers ti consiglio caldamente di esaminare i controlli in background, i controlli penali, ecc. Anche il servizio militare e le autorizzazioni governative (attive o scadute) possono essere considerazioni.
Puoi anche fare una domanda a Workplace.SE sull'assunzione di specialisti tecnici e assumere persone al di fuori della tua area di competenza .
Il tuo bisogno di assumere un penetrometro dipenderà dalla tua azienda e dal tipo di lavoro. In alcuni casi sarà necessario (ad esempio, se si elaborano pagamenti con carta di credito, i test di penna devono essere eseguiti regolarmente). Se, tuttavia, fai parte di una piccola organizzazione che produce beni non critici, è possibile che un test con penna non sia il punto migliore per spendere il tuo budget di sicurezza. Potrebbe anche non essere necessario assumere un pen-tester a tempo pieno, ma piuttosto avere un consulente annuale entrare e rivedere la rete.
Quando assumi qualcuno per un processo di test delle penne, devi esaminare diverse cose:
Questo è in aggiunta al normale processo di intervista per qualsiasi risorsa.
Suggerirei di guardare questi collegamenti a informazioni più complete:
Inoltre, un domanda correlata (dal punto di vista di un richiedente)
Leggi altre domande sui tag penetration-test career certification