数字世界的全球技能和能力框架

渗透测试 PENT

通过模拟潜在攻击者的工具和技术,对安全控制的有效性进行测试。

指导说明

渗透测试可以是独立的活动,也可以是在批准操作之前进行的某一方面的验收测试。

活动包括但不限于:

  • 道德黑客——使用与对手相同的工具和技术,安全地利用安全漏洞
  • 说明敌人如何破坏安全目标或实现特定的敌对目标
  • 评估现有/计划的防御或缓解控制的有效性
  • 确保网络、系统和应用程序的安全性
  • 识别对各种漏洞的业务风险的见解
  • 测试网络、基础设施、网络和移动应用程序的弱点
  • 检查补丁级别和配置
  • 社会工程设计。

等级

在以下级别定义: 3 4 5 6

渗透测试: 级别 1-2

在承担这些级别的责任时,通常不会观察到这项技能。

渗透测试: 级别 3

按照标准方法,设计和执行渗透测试活动。研究和调查攻击技术,并就抵御攻击的方法提供建议。对渗透测试活动、结果、问题和风险进行分析和报告。

渗透测试: 级别 4

通过对风险和典型漏洞的深入技术分析,选择合适的测试方法。生成测试脚本、材料和测试包,并测试新的及现有的网络、系统或应用程序。提供有关渗透测试的建议,为他人提供支持。记录并分析操作和结果,并在必要时修改测试。就与整个项目相关的进度、异常、风险和问题进行报告。

渗透测试: 级别 5

规划并推动已确定的业务活动区域内的渗透测试。对漏洞的存在、防御及缓解控制的有效性提供客观的见解。负责测试活动的完整性,并协调此类活动的执行。就渗透测试的各个方面提供权威的建议与指导。确定渗透测试的需求并实施新的方法。协助设定安全测试标准。

渗透测试: 级别 6

确定渗透测试政策,并掌握支持流程。管理组织内部的所有渗透测试活动。评估测试流程替代方案的可行性并就其提供建议。在渗透测试中,建立持续改进和发明的能力,并领导新方法的实施。评估供应商的开发与测试能力。管理渗透测试方面的客户关系。

渗透测试: 级别 7

在承担这种级别的责任时,通常不会观察到这项技能。