Information Security Audit


Information Security Audit

Information Security Audit เป็นการตรวจสอบ ในระดับของการรักษาความปลอดภัยข้อมูลในองค์กร ขอบเขตของการตรวจสอบความปลอดภัยของข้อมูลนั้นมีหลายประเภท รวมทั้งมีหลายวัตถุประสงค์โดยส่วนมากจะแบ่งประเภทของการควบคุมโดยแบ่งตาม เทคนิค, กายภาพ และ การจัดการ การตรวจสอบความปลอดภัยของข้อมูลครอบคลุมหัวข้อตั้งแต่การตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลไปจนถึงการตรวจสอบความปลอดภัยของฐานข้อมูล โดยเน้นองค์ประกอบสำคัญในการมองหาและมีวิธีการที่แตกต่างกันสำหรับแต่ละขอบเขตเหล่านี้
หากมอง IT ในมุมของการรักษาความปลอดภัยข้อมูลจะสามารถเห็นได้ว่า IT เป็นเพียงส่วนหนึ่งของ Information Technology Audit หรือ Computer Security Audit แต่ Information Security Audit นั้นครอบคลุมมากกว่า IT

กระบวนการตรวจสอบ
- การวางแผนการตรวจสอบและจัดเตรียม
ผู้ตรวจสอบจะต้องศึกษาอย่างเพียงพอเกี่ยวกับบริษัทและกิจกรรมทางธุรกิจที่สำคัญก่อนการดำเนินการตรวจสอบศูนย์ข้อมูล. The objective of the data center is to align data center activities with the goals of the business while maintaining the security and integrity of critical information and processes. วัตถุประสงค์ของการตรวจสอบศูนย์ข้อมูลคือการทำให้กิจกรรมของศูนย์ข้อมูลกับเป้าหมายของธุรกิจยังคงดำเนินต่อได้ ในขณะที่ข้อมูลที่สำคัญและกระบวนการยังคงมีความปลอดภัยและสมบูรณ์
- จัดตั้งวัตถุประสงค์การตรวจสอบ
ขั้นตอนถัดไปในการดำเนินการตรวจสอบของศูนย์ข้อมูลองค์กรจะถูกกำหนดเมื่อผู้ตรวจสอบแสดงวัตถุประสงค์การตรวจสอบ ผู้ตรวจสอบจะพิจารณาปัจจัยหลายตัวที่เกี่ยวข้องกับกระบวนการศูนย์ข้อมูลและกิจกรรมที่อาจระบุความเสี่ยงการตรวจสอบในระบบปฏิบัติการและประเมินการควบคุมที่จะลดความเสี่ยงเหล่านี้ หลังจากการทดสอบถี่ถ้วนและวิเคราะห์ผู้ตรวจสอบสามารถวิเคราะห์ได้ว่าศูนย์ข้อมูลการควบคุมดูแลที่เหมาะสมและมีการปฏิบัติการอย่างมีประสิทธิภาพ
- ตรวจสอบ
ขั้นตอนถัดไปคือการรวบรวมหลักฐานเพื่อสนองตอบวัตถุประสงค์การตรวจสอบศูนย์ข้อมูล โดยขั้นตอนนี้จะต้องเดินทางไปยังสถานที่ศูนย์ข้อมูลและประมวลผลการสังเกตและวิธีการดำเนินการภายในศูนย์ข้อมูล
- การส่งรายงานการตรวจสอบ
รายงานการตรวจสอบศูนย์ข้อมูลจะสรุปผลการตรวจสอบและจะคล้ายกันในรูปแบบรายงานการตรวจสอบมาตรฐาน รายงานการตรวจสอบจะต้องลงวันที่ ในรายงานควรมีการอธิบายว่าการตรวจทานนั้น รับประกันในขอบเขตจำกัด
การตรวจสอบระบบ
ช่องโหว่ของเครือข่าย (Network vulnerabilities)
การดักจับ: ข้อมูลที่ถูกส่งผ่านเครือข่ายมีความเสี่ยงที่จะถูกดักจับโดยบุคคลที่สามที่จะนำข้อมูลที่จะใช้เป็นอันตราย
ความพร้อมใช้: ปัจจุบันเครือข่ายได้ขยายเป็นวงกว้าง ข้ามหลายร้อยหรือหลายพันไมล์เพื่อเข้าถึงข้อมูลบริษัทและการขาดการเชื่อมต่ออาจทำให้เกิดการหยุดชะงักทางธุรกิจ
การเข้าใช้,จุดเชื่อมต่อ: มีเครือข่ายมากมายที่มีความเสี่ยงที่จะมีการเข้าถึงโดยไม่พึง ข้อบกพร่องในเครือข่ายสามารถทำให้ข้อมูลถูกเข้าถึงได้โดยผู้บุกรุก และยังสามารถให้จุดเชื่อมต่อให้ไวรัสและโทรจัน
การควบคุม (Controls)
ควบคุมการดักจับ: การดักจับสามารถทำได้โดยการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลและสำนักงานรวมทั้งสถานที่ที่เป็นการเชื่อมต่อสื่อสาร การเข้ารหัสยังช่วยรักษาความปลอดภัยเครือข่ายไร้สาย
ควบคุมความพร้อมใช้: การควบคุมที่ดีที่สุดคือการมีสถาปัตยกรรมเครือข่ายยอดเยี่ยมและมีการเฝ้าระวัง เครือข่ายควรมีเส้นทางที่มากกว่า 1 เส้นทางระหว่างทรัพยากรทุกจุด และสามารถเปลี่ยนเส้นทางโดยอัตโนมัติ และไม่สูญเสียข้อมูลหรือเวลา
ควบคุมการเข้าใช้,จุดเชื่อมต่อ: ควบคุมเครือข่ายส่วนมากจะวางที่จุดที่เครือข่ายเชื่อมต่อกับเครือข่ายภายนอก การควบคุมเหล่านี้จำกัดการจราจรที่ผ่านเครือข่าย ซึ่งอาจจะใช้ Firewall, IPS รวมทั้งซอฟต์แวร์ป้องกันไวรัส
ผู้ตรวจสอบควรถามคำถามบางอย่างเพื่อทำความเข้าใจเครือข่ายและช่องโหว่ของ ผู้ตรวจสอบควรเริ่มประเมินสิ่งที่ขอบเขตของเครือข่ายและมีโครงสร้างเป็นอย่างไร แผนภาพเครือข่ายสามารถช่วยเหลือผู้ตรวจสอบในกระบวนการนี้คำถามต่อไปผู้ตรวจสอบควรถามคืออะไรใดเป็นข้อมูลสำคัญของเครือข่ายนี้ที่ต้องป้องกันสิ่งต่างๆเช่นระบบเซิร์ฟเวอร์ mail, เว็บเซิร์ฟเวอร์และโปรแกรมเข้าถึงเซิร์ฟเวอร์ สิ่งสำคัญที่ควรคือต้องทราบผู้ที่สามารถเข้าถึงได้ลูกค้าและผู้ขายสามารถเข้าถึงระบบเครือข่ายได้หรือไม่ พนักงานสามารถเข้าถึงข้อมูลจากบ้านได้หรือไม่ ส่วนใหญ่ผู้ตรวจสอบควรประเมินว่าเครือข่ายเชื่อมต่อกับเครือข่ายภายนอกได้รับการป้องกัน เครือข่ายส่วนใหญ่เชื่อมต่ออินเทอร์เน็ตซึ่งอาจเป็นจุดเสี่ยง สิ่งเหล่านี้เป็นคำถามสำคัญในการปกป้องเครือข่าย

การเข้ารหัสและการตรวจสอบ IT
ในการประเมินความต้องการของลูกค้าที่จะใช้นโยบายการเข้ารหัสสำหรับองค์กรของผู้ตรวจสอบควรดำเนินการวิเคราะห์ความเสี่ยงของลูกค้าและมูลค่าข้อมูล บริษัทที่มีผู้ใช้ภายนอกหลายคน หรือมีโปรแกรม e-commerce หรือมีข้อมูลลูกค้า ข้อมูลพนักงาน ควรมีการนโยบายที่เข้มงวดการเข้ารหัสที่มุ่งการเข้ารหัสข้อมูลที่ถูกต้องในขั้นที่เหมาะสมในการเก็บรวบรวมข้อมูล.
ผู้ตรวจสอบควรประเมินนโยบายการเข้ารหัสลับของลูกค้าและกระบวนการอย่างต่อเนื่อง บริษัทที่พึ่งพา e-commerce และ เครือข่ายไร้สาย มีความเสี่ยงมากต่อการขโมยและการสูญเสียข้อมูลสำคัญในการส่งผ่าน นโยบายและกระบวนการควรมีทำเป็นเอกสารเพื่อให้มั่นใจว่าข้อมูลทั้งหมดมีการป้องกัน บริษัทสามารถยึดนโยบายจาก the Control Objectives for Information and related Technology ( COBIT ), guidelines established by the IT Governance Institute ( ITGI ) และ Information Systems Audit and Control Association ( ISACA ) ผู้ตรวจสอบ IT ควรมีความรู้เพียงพอเกี่ยวกับแนวทาง COBIT.
การตรวจสอบความปลอดภัย Logical
ขั้นตอนแรกในการตรวจสอบระบบใดๆคือการแสวงหาเพื่อทำความเข้าใจส่วนประกอบและโครงสร้างของมัน เมื่อทำการตรวจสอบความปลอดภัยแบบ Logical ผู้ตรวจสอบควรตรวจสอบสิ่งที่ควบคุมความปลอดภัยในสถานที่เมื่อและวิธีการทำงาน โดยเฉพาะรายการต่อไปนี้เป็นจุดสำคัญในการตรวจสอบความปลอดภัยทาง Logical
รหัสผ่าน: ทุกบริษัทควรมีการเขียนนโยบายเกี่ยวกับรหัสผ่านและบังคับใช้พนักงานของพวกเขา รหัสผ่านไม่ควรใช้ร่วมกันและพนักงานควรจะมีข้อบังคับกำหนดระยะเวลาในการเปลี่ยนรหัสผ่าน พนักงานควรมีสิทธิ์ที่จะเข้าใช้ในสิ่งที่สอดคล้องกับการทำงานของพวกเขา
กระบวนการพ้นสภาพ: ขั้นตอนการสิ้นสุดเหมาะสมเพื่อให้พนักงานเก่าไม่สามารถเข้าใช้เครือข่ายสามารถทำได้โดยการเปลี่ยนรหัสผ่านและรหัส รวมไปถึง cards id
บัญชีผู้ใช้พิเศษ: บัญชีผู้ใช้และบัญชีสิทธิพิเศษอื่นๆควรจะตรวจสอบและควบคุมให้เหมาะสม
Remote Access: การเข้าถึงระยะไกลมักจะเป็นจุดที่ผู้บุกรุกสามารถเข้าระบบ เครื่องมือรักษาความปลอดภัยที่ใช้สำหรับการเข้าถึงระยะไกลควรจะเข้มงวดมาก การเข้าถึงระยะไกลควรจะบันทึก.
เครื่องมือเฉพาะที่ใช้ในการรักษาความปลอดภัยเครือข่าย
การรักษาความปลอดภัยเครือข่ายทำได้โดยใช้เครื่องมือต่างๆไม่ว่าจะเป็น Firewall และ เซิร์ฟเวอร์พร็อกซี่, การเข้ารหัส การควบคุมการเข้าถึง, ซอฟต์แวร์ป้องกันไวรัส และระบบการตรวจสอบเช่นการจัดการ log
Firewall เป็นส่วนขั้นพื้นฐานของการรักษาความปลอดภัยเครือข่ายซึ่งมักจะอยู่ระหว่างเครือข่ายภายในและอินเทอร์เน็ต Firewall ควบคุมไหลผ่านของข้อมูลโดยสามารถตรวจสอบสิทธิ์, เฝ้าระวัง, บันทึกและรายงาน ประเภทของ Firewall มีหลายประเภทได้แก่ network layer firewalls, screened subnet firewalls, packet filter firewalls, dynamic packet filtering firewalls, hybrid firewalls, transparent firewalls และ application-level firewalls
การเข้ารหัสลับเกี่ยวกับการแปลงข้อความให้เป็นชุดของตัวอักษรอ่านไม่ได้เรียกว่า ciphertext หากข้อความที่เข้ารหัสถูกขโมย เนื้อหาจะอ่านไม่ได้ เป็นการรับประกันว่าการส่งนั้นปลอดภัยและเป็นประโยชน์อย่างมากให้กับบริษัทในการส่ง / รับข้อมูลสำคัญ เมื่อข้อมูลที่เข้ารหัสมาถึงผู้รับกระบวนการถอดรหัสก็จะใช้งานเพื่อเรียกคืน ciphertext ให้เป็น plaintext ที่สามารถอ่านได้
เซิร์ฟเวอร์ Proxy ซ่อนที่อยู่ที่แท้จริงของเวิร์กสเตชันลูกค้า (IP Address) และบางครั้งยังสามารถทำหน้าที่คล้าย Firewall โดย Firewall Proxy server มีซอฟต์แวร์พิเศษที่บังคับใช้การตรวจสอบ (Authentication)
โปรแกรมป้องกันไวรัสเช่น McAfee และ Symantec เป็นซอฟต์แวร์ค้นหาและกำจัดของเนื้อหาที่เป็นอันตราย โปรแกรมป้องกันไวรัสเหล่านี้ต้องทำให้แน่ใจว่ามีข้อมูลล่าสุดเกี่ยวกับการจัดการไวรัสคอมพิวเตอร์.
Logical ซอฟต์แวร์รักษาความปลอดภัยขององค์กร รวมทั้ง ID และใช้รหัสผ่านในการตรวจสอบสิทธิการเข้าถึงและระดับการเข้าใช้ มาตรการเหล่านี้เพื่อให้แน่ใจว่าเฉพาะผู้ใช้อำนาจสามารถดำเนินการหรือการเข้าถึงข้อมูลในเครือข่ายหรือเวิร์กสเตชัน.
ระบบตรวจสอบติดตามและบันทึกสิ่งที่เกิดขึ้นผ่านทางเครือข่ายองค์กร ระบบ Log Management มักถูกใช้เป็นตัวกลางในการรวบรวมเส้นทางการตรวจสอบจากระบบที่ต่างกันเพื่อวิเคราะห์ Log Management มีความสามารถในการติดตามและระบุผู้ใช้ที่ไม่ได้รับอนุญาตอาจจะมีการพยายามเข้าถึงเครือข่ายและสิ่งที่ผู้มีอำนาจในการเข้าถึงเครือข่ายและการเปลี่ยนแปลงเจ้าหน้าที่ผู้ใช้
จากการสำรวจผู้ใช้ Nmap จำนวน 3,243 รายโดย Insecure.Org ในปี 2006
Nessus, Wireshark, Snort เป็น network security tool ที่ได้รับความนิยมสูงสุด
BackTrack Live CD เป็นเครื่องมือในการตรวจสอบความปลอดภัยข้อมูลที่ได้รับความนิยมสูงสุด
- Nessus เป็น Remote Security Scanner ที่มีรายการการตรวจสแบความปลอดภัยมากกว่า 1,200 รายการสำหรับ Linux, BSD และ Solaris
- Wireshark เป็น Network Protocol Analyzer สำหรับทั้ง Unix และ Windows
- Snort เป็นตัวตรวจจับการบุกรุก
ทั้ง Nessus, Wireshark, Snort นั้นเป็น Freeware ส่วนผลิตภัณฑ์ที่นิยมอื่นๆได้แก่
- OmniGuard เป็น Firewall ที่มีบริการป้องกัน Virus
- Guardian เป็น Software ประเภทเดียวกับ OmniGuard
- LANGuard ให้ตรวจสอบเครือข่ายตรวจจับการบุกรุกและการบริหารเครือข่าย
รูปแบบและเทคนิคของการตรวจสอบ
ขั้นตอนที่ 1 Best Practices Checklist or Interview Technics
ขั้นตอนนี้เป็นขั้นตอนพื้นฐานที่ควรทำในเบื้องต้นก่อน บางครั้งเรานิยมเรียกว่า “Gap Analysis” โดยใช้ ISO/IEC 27001 Best Practice หรือ CobiT Framework นำมาประยุกต์เป็น Audit Checklist เพื่อนำไปสัมภาษณ์ (Interview session) การตรวจสอบในขั้นตอนนี้มุ่งเน้นไปที่ PP (People and Process) ใน PPT (People, Process and Technology) Concept กล่าวคือ ทำให้ผู้ตรวจสอบระบบสารสนเทศได้เข้าใจแนวคิดและความตระหนักเรื่องความปลอดภัยข้อมูลของผู้บริหารองค์กร ผู้ดูแลระบบสารสนเทศ ตลอดจน ผู้ใช้งานคอมพิวเตอร์ทั่วไปที่อยู่ในตารางการสัมภาษณ์ (Interview Schedule) ซึ่งปกติไม่ควรเกิน 10 คน ซึ่งแต่ละคนไม่ควรสัมภาษณ์เกิน 1 ชั่วโมง และทำให้ผู้ตรวจสอบระบบสารสนเทศได้เห็นว่า องค์กรได้นำ Information Security Best Practice หรือ Framework มาประยุกต์ใช้ในองค์กรหรือไม่ ซึ่งทางองค์กรอาจจะยังไม่ “Comply” ตาม Best Practice ดังกล่าวในบางหัวข้อ ทำให้องค์กรได้รับทราบจุดอ่อนของตนเอง เพื่อเป็นแนวทางในการตรวจสอบในขั้นตอนต่อไป
ขั้นตอนที่ 2 Vulnerability Assessment Technics
ขั้นตอนนี้มุ่งเน้นการตรวจสอบในมุมมองของ T (Technology) ใน PPT (People, Process and Technology) Concept เป็นการตรวจสอบทางเทคนิคที่ลึกกว่าการสัมภาษณ์โดยใช้ Best Practices Checklist (ในขั้นตอนที่ 1) ซึ่งจะช่วยให้ผู้ตรวจสอบระบบสารสนเทศได้เจาะลึกถึงช่องโหว่ (Vulnerability) หรือ จุดอ่อนของระบบสารสนเทศที่สามารถตรวจสอบโดยใช้ Vulnerability Scanner เช่น Nessus (Opensource Scanner) เพื่อให้ผู้ดูแลระบบสารสนเทศเกิดความตระหนักและเห็นถึงปัญหาที่เกิดจากช่องโหว่ของระบบที่ยังไม่ได้รับการแก้ไข โดยควรนำเสนอในรูปแบบของ ระดับความเสี่ยงเช่น High Risk, Medium Risk หรือ Low Risk เป็นต้น
ผู้ตรวจสอบสารสนเทศจึงจำเป็นต้องมีความรู้พื้นฐานด้าน Information Security ในระดับหนึ่ง และควรมีทักษะในการใช้ Vulnerability Scanner ซึ่งถือเป็น “Tool” หรือเครื่องมือในการตรวจสอบ ที่ผู้ตรวจสอบฯ จำเป็นต้องมีไว้ใช้งาน การแปลผลจาก Vulnerability Scanner และนำเสนอผลในรูปแบบที่เข้าใจง่ายเป็นจุดสำคัญของการทำ VA หรือ Vulnerability Assessment เพราะหากแปลผลผิด เช่น ไม่ยึดตามมาตรฐาน SANS TOP 20 หรือ OWASP Web Application Security Standard ก็จะทำให้ผิดวัตถุประสงค์ในการอ้างอิงกับมาตรฐานสากล ดังนั้นการแปลผลจาก Vulnerability Scanner ควรนำมาตรฐานต่างๆ มาช่วยในการนำเสนอในรูปแบบ PowerPoint ที่ผู้บริหารสามารถเข้าใจได้ง่าย เห็นภาพปัญหาที่อาจเกิดขึ้นกับระบบสารสนเทศได้อย่างชัดเจน
ขั้นตอนที่ 3 Penetration Testing (Pen-test) Technics
ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ควรจะทำต่อจากขั้นตอนที่ 2 เนื่องจากให้ผลลัพธ์ที่ลึกซึ้งและละเอียดอ่อน กว่าการทำ Vulnerability Assessment หลักการของการทำ Pen-Test หรือ การลองเจาะระบบคล้ายกับการเจาะระบบของไวรัส หรือ แฮกเกอร์ (Ethical Simulated Hacking) ทำให้ผู้ดูแลระบบเกิดความตื่นตัวในการป้องกันระบบของตน เพราะผู้ตรวจสอบฯ สามารถเข้าไปถึงข้อมูลสำคัญๆ ในระบบโดยที่ผู้ตรวจสอบฯ ไม่มี Username หรือ Password แต่อย่าง
Penetration Test คือวิธีการประเมิน ความปลอดภัย ของ ระบบคอมพิวเตอร์ หรือ เครือข่าย โดยจำลองการโจมตีจากแหล่งที่อาจเป็นอันตรายที่รู้จักกันเป็น Black Hat แฮกเกอร์ หรือ Cracker กระบวนการนี้เกี่ยวกับการใช้งานของระบบสำหรับช่องโหว่ที่อาจเกิดขึ้นที่อาจเป็น ผลมาจากการกำหนดค่าระบบไม่ดีหรือไม่เหมาะสม หรือจุดอ่อนปฏิบัติงานในกระบวนการหรือเทคนิค countermeasures การวิเคราะห์นี้ช่วยนำจุดของการโจมตีเป้าหมายออกจากระบบและสามารถช่วยหาช่องโหว่ความปลอดภัย
เจตนาของการทดสอบ Penetration Test คือการพิจารณาความเป็นไปได้ของการโจมตีและปริมาณของผลกระทบของธุรกิจ Penetration Test เป็นส่วนประกอบหนึ่งของ Security Audit
Black box และ White box
Penetration สามารถดำเนินการในหลายวิธี ซึ่งสิ่งที่แตกต่างกันมากที่สุดคือจำนวนความรู้ในรายละเอียดการใช้งานของระบบที่มีการทดสอบที่มีการทดสอบ การทดสอบแบบ Black box ถือว่าไม่มีความรู้ก่อนของโครงสร้างพื้นฐานที่จะทดสอบ การทดสอบต้องทราบสถานที่และขอบเขตของระบบก่อนที่จะเริ่มการวิเคราะห์ของพวกเขา ส่วน White box ข้อมูลของระบบจะถูกส่งให้ผู้ทดสอบก่อนทั้ง ไม่ว่าจะเป็น Network Diagram, Source Code รวมถึงข้อมูล IP Address นอกจากนี้ยัง ทดสอบ Gray Box การทดสอบเจาะอาจอธิบาย "เปิดเผยเต็ม", "การเปิดเผยบางส่วน" หรือ "การซ่อนข้อมูล" ที่ให้กับบุคคลที่ทดสอบ.
วิธี (Methodologies)
Open Source Security Testing Methodology Manual (OSSTMM) เป็นวิธีการหนึ่งสำหรับการทดสอบความปลอดภัย OSSTMM แบ่งกรณีทดสอบออกเป็นห้าช่องทาง: ข้อมูลและการควบคุมข้อมูล, บุคลากรระดับความตระหนักความปลอดภัย, การหลอกลวง และวิธีการ Social Engineering, คอมพิวเตอร์และ ครือข่ายโทรคมนาคม, อุปกรณ์ไร้สาย, อุปกรณ์โทรศัพท์เคลื่อนที่, ควบคุมการรักษาความปลอดภัยทางกายภาพ, กระบวนการรักษาความปลอดภัยและตำแหน่งทางกายภาพเช่นอาคารปริมณฑลและฐานทหาร.
The National Institute of Standards and Technology (NIST) กล่าวถึงการทดสอบ penetration testing ใน SP800-115 วิธีการ NIST ไม่ครอบคลุมเท่า OSSTMM แต่มีโอกาสที่จะรับการยอมรับจากหน่วยงานกำกับดูแล ด้วยเหตุผลนี้ NIST ยังอ้างถึง OSSTMM ด้วย
The Information Systems Security Assessment Framework (ISSAF) เป็นกรอบโครงสร้างจาก the Open Information Systems Security Group ที่แบ่งกลุ่มข้อมูลการประเมินระบบรักษาความปลอดภัยในโดเมนต่างๆและรายละเอียดการประเมิน หรือการทดสอบเกณฑ์สำหรับแต่ละโดเมนเหล่านี้ มันมีวัตถุประสงค์เพื่อให้ข้อมูล inputs ในการประเมินความปลอดภัยที่สะท้อนถึงสถานการณ์จริง
มาตรฐานและการรับรอง
การดำเนินการทดสอบการเจาะสามารถเปิดเผยข้อมูลที่สำคัญเกี่ยวกับองค์กร นี่เป็นเหตุผลว่าบริษัทรักษาความปลอดภัยเป็นส่วนใหญ่ที่แสดงว่าพวกเขาไม่จ้างอดีต แฮกเกอร์ มีหลายอาชีพและการรับรองรัฐบาลที่แสดงความเชื่อถือของบริษัท เพื่อการปฏิบัติที่ดีที่สุด.
Information Assurance Certification Review Board (IACRB) จัดการใบรับรองการทดสอบการรุกที่เรียกว่า Certified Penetration Tester (CPT) CPT กำหนดให้ผู้สมัครสอบผ่านการสอบเลือกหลายแบบรวมทั้งผ่านการสอบภาคปฏิบัติที่ต้องสมัครการทดสอบการเจาะกับเซิร์ฟเวอร์จริง
สามใบรับรองที่ออกโดย the International Council of E-Commerce consultants (EC-Council)ได้แก่ Certified Ethical Hacker course, Computer Hacking Forensics Investigator program และ License Penetration Tester program The EC-Council Network Security Administrator (ENSA) training ได้เป็นรายที่ 12 ของ Colloquium for Information Systems Security Education (CISSE) โดย National Security Agency (NSA) และ the Committee on National Security Systems (CNSS) มีหน้าที่ออก Certified ของ the Critical National Security System (CNSS)
SANS ให้หลากหลายเวทีฝึกอบรมการรักษาความปลอดภัยคอมพิวเตอร์ชั้นนำจำนวนคุณวุฒิ SANS ในปี 1999 SANS ก่อตั้ง โดย Giac, Global Information Assurance Certification Two of the GIAC certifications are penetration testing specific, namely the GIAC Certified Penetration Tester (GPEN) certification, and the the GIAC Web Application Penetration Tester (GWAPT) certification. การรับรอง Giac กำลังทดสอบเจาะเฉพาะได้แก่ Giac Certified Penetration Tester (GPEN) และ Giac Web Application Penetration Tester (GWAPT)
การทดสอบของภาครัฐยังอยู่ในสหรัฐอเมริกามีหลายมาตรฐานเช่น NSA Infrastructure Evaluation Methodology (IEM)
สำหรับการใช้งานเว็บ Open Web Application Security Project (OWASP) ให้กรอบของคำแนะนำที่สามารถใช้เป็นมาตรฐาน

แหล่งอ้างอิง ITM633 การจัดการความมั่นคงปลอดภัยสารสนเทศ