渗透测试人员是否应该接受ISO 27001/ITIL等方面的培训？

Question

我最近得到了一个提升，但作为软件包的一部分，我被要求做ISO 27001，ITIL，ARPA和其他类型的培训。我以前曾避免过这种训练，因为我觉得这会“分散”我对技术安全知识的注意力。

在渗透测试方面，这些资格是否有用？这些是否为渗透测试提供了良好的框架？我没有成为一名非技术经理的愿望(至少在可预见的未来)，而合规/审计并没有让我特别感兴趣。然而，我周围的知识是很少的，所以我很好奇，我是否应该接受他们的提议，或建议技术培训。

Answer 1

虽然它可能不是您习惯的核心技术限制，但它肯定会帮助您理解公司内部的流程和安全控制。这可能会帮助您以一种可以理解的方式将您的发现带到业务和IT管理部门。

显然，这也意味着您可以做更多的工作，因为您还可以编写一个标准或基线(27001)。

不要害怕不时尝试新事物:)。

Answer 2

我很少发现更多的知识是有害的。它可能不是超级有用的，但在一些罕见的情况下可能会有所帮助。

Answer 3

没有多大好处。我是一个PenTester与ITIL和ISO 27k认证。虽然ITIL几乎不需要直接处理信息安全问题，而且是非常通用的，但是可以有效地设置一个更快的事件响应和更改控制过程。对于任何认真对待InfoSec的组织来说，ISO 27k作为标准和非常广泛的流程准则存在。该标准还规定进行审计，以衡量信息安全过程和控制的有效性。此审核可以包括源代码分析和渗透测试。只有当本组织通过ISO 27k认证时，渗透测试人员才能找到它的一些用途，即期望存在某种程度的安全性。当你参加这些训练时，你将不会被教导一个命令。

如果你想在大的组织中扮演管理的角色，就需要了解ITIL和ISO 27k。他们喜欢衡量一切，并且拥有几乎所有过程结果的度量标准。ITIL和ISO 27k更多的是关于有持续改进的范围和机制的过程。