当你雇佣某人/企业时,你如何确保他们不会雇佣一个会在你的系统上设置后门的流氓员工?有没有办法让你信任任何人?大公司是如何做到的?似乎有这么多可能的机会,有人成为流氓的可能性非常大。
最好自己做吗?您是否雇用自己的团队,以便建立信任关系?
基本上,当授予某人合法权利来对您的系统和网络进行黑客测试时,应该采取什么步骤?
答案1
付钱给一家大公司来做这件事——这并不能阻止这种事情发生,但这样做确实能给你带来一定程度的保护。
答案2
Basically, what steps should be taken when giving someone legal rights to hack-test your systems and network?
让贵公司的律师起草一份合同,如果承包商利用所获得的数据做任何见不得人的事情,就剥夺他们的生殖器官。
此类合同通常包括工作成果条款、保密协议,以及(为了保护承包商)贵公司的一份声明,声明渗透测试是经过授权的,可能会导致中断/数据丢失。
除此之外,如果你要雇佣个人,背景调查是一个不错的开始。
如果你认识渗透测试领域的人,你总是可以雇佣你的朋友(你大概信任他们),否则雇佣一家像 Chopper3 建议的大型公司始终是一个选择(但请注意,这些公司中的许多公司会雇佣“改过自新的黑帽”,因为这些人拥有技能)。
答案3
这与评估任何为贵公司提供关键服务的公司的方式大致相同 - 您的相同问题可以向律师、会计师、审计师、看门人等提出。选择过程的一部分应包括参考检查(包括对员工的犯罪记录检查)和确认是否已建立适当级别的担保和保险。 D&B(信用检查)还将让您了解业务的成熟程度。最后,贵公司与渗透测试人员之间的合同性质可以定义条款和处罚。即使有所有这些,确保您的企业拥有适当级别的正确保险类型也很重要 - 这正是 COO 和 CFO 应该弄清楚的事情。