正确评估渗透服务团队的能力,是选择渗透服务团队合作的基础,是获取渗透服务效果的最佳保障。有两种方法是常用的:
1、相信行业品牌团队的价值:企业品牌是靠经验、案列、口碑树立的一个形象,不同于个人,品牌化企业具有一套完善的标准化、流程化工作。
2、 选择案例多的:做过的肯定有经验,人们也习惯于用事实说话,何况作为案例的都是结果都不错的。当然,这种“马太效应”并非总有效。因为业务繁重而疏于管 理,服务质量就会下降;因为项目众多,无暇在技术上进一步研究,逐渐落后于后起之秀;更重要的是:渗透是逆向思维的漏洞攻击技术,突破传统的思维框架,才 更有价值,所以,没有经验的新人,并非不能创造新的渗透奇迹。
3、 考而优择仕:“是骡子是马拉出来溜溜”,人们还是喜欢相信亲眼见到的。通过实验环境的渗透模拟比赛,谁赢了就选谁。这样做需要用户投入大量的精力,要有时 间组织,要考题出得适度。考题容易了,结果无差异;考题难了,没有及格的;都无法判断谁的能力强,考题要出得很符合用户的实际需求,就不是很容易了。更为 重要的是,很多用户根本不清楚如何组织这种渗透模拟。
有一个问题值得关注:选择适合自己安全需求的渗透团队很重要。不同用户的信息安全建设程度是不同的,若用户本身的安全防御体系很完善,选择的渗透团队很初级,基本上就是隔靴搔痒;若安全管理松懈,找来非常专业的渗透团队,那好比大炮打蚊子。
随着用户信息安全保障体系的不断完善,选择团队的渗透能力也应该逐渐增强,能力对等,才能有效发现自己的弱点,“大刀对坦克”式地表演,是在耽误双方的时间。
如何综合评价一个渗透服务团队的技术能力呢?我们借助能力成熟度模型(Capability Maturity Model:CMM)的思路,将渗透服务分为两个维度,一个维度是渗透服务的过程,是渗透各个环节的分解;另一个维度是组织保证能力,由管理和制度组成,通过项目管理与文档检验。
简单地说:就是划分出渗透服务过程中所需要的各种方面的技术领域,并区分出每个领域保证最终渗透效果所应具备的管理与技术能力。