渗透测试 PENT

通过模拟潜在攻击者的工具和技术，对安全控制的有效性进行测试。

渗透测试可以是独立的活动，也可以是在批准操作之前进行的某一方面的验收测试。

活动包括但不限于：

定义的级别显示了技能和责任的增量进展。

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人：

该技能的责任级别

级别 1 — 跟随: 该级别的本质：在密切监督下执行常规任务，遵照指示并需要指导来完成工作。学习并应用基本技能和知识。

级别 2 — 协助: 该级别的本质：为他人提供帮助，在日常监督下工作，利用自己的判断力解决常规问题。通过培训和在职经验积极学习。

在日常监督下协助进行渗透测试任务。支持对系统、网络和应用程序执行标准渗透测试。帮助记录和报告测试结果、发现和潜在的安全风险。

级别 3 — 应用: 该级别的本质：使用标准方法和程序执行各种任务，有时是复杂和非常规任务。在一般指导下工作，行使自主权，在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

按照标准方法，设计和执行渗透测试活动。研究和调查攻击技术，并就抵御攻击的方法提供建议。对渗透测试活动、结果、问题和风险进行分析和报告。

级别 4 — 帮助: 该级别的本质：执行各种复杂的活动，支持和指导他人，在适当时委派任务，在一般指导下自主工作，并为实现团队目标贡献专业知识。

通过对风险和典型漏洞的深入技术分析，选择合适的测试方法。生成测试脚本、材料和测试包，并测试新的及现有的网络、系统或应用程序。提供有关渗透测试的建议，为他人提供支持。记录并分析操作和结果，并在必要时修改测试。就与整个项目相关的进度、异常、风险和问题进行报告。

级别 5 — 确保，建议: 该级别的本质：在其专业内提供权威性指导，并在广泛的指导下开展工作。负责交付从分析、执行到评估的重要工作成果。

规划并推动已确定的业务活动区域内的渗透测试。对漏洞的存在、防御及缓解控制的有效性提供客观的见解。负责测试活动的完整性，并协调此类活动的执行。就渗透测试的各个方面提供权威的建议与指导。确定渗透测试的需求并实施新的方法。协助设定安全测试标准。

级别 6 — 主动，影响: 该级别的本质：对组织有重大影响，做出高层决策，制定政策，展现领导力，促进组织协作，并在关键领域接受问责。

确定渗透测试政策，并掌握支持流程。管理组织内部的所有渗透测试活动。评估测试流程替代方案的可行性并就其提供建议。在渗透测试中，建立持续改进和发明的能力，并领导新方法的实施。评估供应商的开发与测试能力。管理渗透测试方面的客户关系。

级别 7 — 制定战略，激励，动员: 该级别的本质：在最高组织级别运作，决定组织的总体愿景和战略，并对全面成功负责。