数字世界的全球技能和能力框架

渗透测试 PENT

通过设计和执行渗透测试来评估组织脆弱性,通过测试可显示对手是如何颠覆组织的安全目标或达成特定的敌对目标。渗透测试可能是一个独立的活动,也可能是在批准操作之前准入测试的一个方面。可以对各种漏洞的业务风险进行更深入的洞察。

等级

在以下级别定义: 4 5 6

渗透测试: 级别 1-3

在承担这些级别的责任时,通常不会观察到这项技能。

渗透测试: 级别 4

维持对恶意程序攻击及其它网络安全威胁的现有知识。通过对风险及典型漏洞进行深度技术分析创建测试案例。生成测试脚本、资料及测试包以测试新及现有的软件或服务。具体说明有关环境、数据、资源及工具的规定。使用约定的方法及标准诠释、实施及记录复杂的测试脚本。记录及分析措施及结果。审查测试结果并修改测试(如有必要)。提供有关进程、异常、风险及与整体项目相关的问题的报告。提供有关系统质量的报告并收集有关测试案例的参数。提供专家建议支持其他同事。

渗透测试: 级别 5

在商业活动定义的范围内协调及管理渗透测试的规划。对漏洞的存在、防御及减缓控制(包括已经存在及拟于未来实施的)的有效性提供客观的理解。负责测试活动的完整性,并协调这些活动的进行。就漏洞测试的规划及实施提供权威的建议及指导。定义及传达测试策略。管理所有测试流程并协助制定公司的安全测试标准。

渗透测试: 级别 6

采取全面的方法,在整个组织政策、流程和防御体系中寻找脆弱性,以提高组织准备度,改善攻防从业者的培训,并检查当前的能力水平。确定测试策略,拥有支撑流程。负责组织内所有漏洞测试活动的管理。对测试过程备选方案的实用性进行评估和建议。启动对测试过程的改进并指导其实施。对供应商开发测试能力进行评估。管理所有测试事项相关的客户关系。

渗透测试: 级别 7

在承担这种级别的责任时,通常不会观察到这项技能。