成为CREST认证需要什么？十大问题解答

声誉——什么是CREST？
道德准则——企业如何获得CREST认证？
透明度——Intigriti与CREST如何对齐？
增强能力——CREST如何影响Intigriti渗透测试？
安心保障——企业为何应与CREST认证的漏洞赏金公司合作？
质量保证——CREST认证对企业有哪些好处？
行业影响——CREST认证是强制性的吗？
风险——未认证的危害是什么？
地域范围——CREST认证的覆盖范围？
替代方案——除了CREST还有其他选择吗？

声誉——什么是CREST？

CREST是网络安全行业质量保证认证的黄金标准。作为全球认可的非营利性网络安全权威机构，它依据严格的标准对组织的质量、技术能力和运营完整性进行 rigorous 评估。

“在当今数字世界中保护信息安全是一项严峻挑战，因此所有组织都希望确保他们聘请来测试和保护系统的网络安全公司信誉良好且能力出众。”——CREST

道德准则——企业如何获得CREST认证？

首先，区分认证（accreditation）和证书（certification）很重要：

CREST认证针对组织
CPSA、CRT、CCSAS等证书针对个人

要获得CREST认证，组织必须提交详细申请，接受政策、流程和方法的审计，并通过员工持有个人CREST证书来展示组织理解。为维持认证，组织需定期接受重新评估以确保合规。

“所有成员签署可执行的《行为与道德准则》，并同意遵守我们的投诉与解决措施。”——CREST

透明度——Intigriti与CREST如何对齐？

CREST认证展示公司在道德黑客、渗透测试和网络安全最佳实践方面符合标准。

Intigriti CEO Stijn Jans评论认证时表示，CREST认证被广泛认为是 rigorous、有效且可信的渗透测试的标志。为我们的渗透测试服务获得这一 prestigious distinction 不仅强化了我们的专业知识，还强调了我们为客户提供最高标准安全测试的承诺。

阅读完整新闻稿此处

增强能力——CREST如何影响Intigriti渗透测试？

CREST认证涵盖一系列网络安全服务，包括渗透测试、漏洞评估、威胁情报、事件响应和安全运营中心。

Intigriti的渗透测试即服务（PTaaS）具有可扩展性、灵活性，并基于按影响付费模式，确保客户只为已验证、有影响的发现付费。现在通过CREST认证增强，Intigriti服务将可信合规与真正创新结合。

与传统锁定在静态、按时间付费的渗透测试不同，Intigriti解决方案提供实时验证，并吸引 top 2% 的道德黑客，确保最大投资回报率（ROI）和 tailored 现实需求的评估。这一独家产品重新定义了渗透测试的价值和效率，挑战行业的过时规范。

“CREST自2006年起认证渗透测试公司，到2021年底已评估全球300多家提供渗透测试服务的组织。在此期间，对渗透测试的期望 evolved，同时用于提供渗透测试的工具集、平台和交付方法也发生了显著变化。”——CREST

安心保障——企业为何应与CREST认证的漏洞赏金公司合作？

CREST认证是网络安全领域质量和专业性的强指标。获得CREST认证确保服务交付和方法符合CREST标准，这意味着安全、可靠、合规的解决方案，不仅保护客户数据，还帮助客户维持 regulatory compliance、降低风险并改善整体安全态势。

对客户的五大好处包括：

最新专业知识
训练有素的安全专业人员
客户 assurance
全球接受的认证
合规协助

“不合规罚款可从数万到数百万美元。例如，2万美元的渗透测试可帮助避免10万美元罚款，提供400%的ROI。”——AdamsBrown

质量保证——CREST认证对企业有哪些好处？

获得CREST认证有许多好处。认证公司可以：

突出市场竞争优势
提供技术能力证明
竞标强烈偏好该认证的行业合同
与客户建立信任

“受信任公司表现优于同行高达400%，信任品牌的客户再次购买的可能性高88%。”——Deloitte

行业影响——CREST认证是强制性的吗？

公司不需要获得CREST认证，这不是法律要求。然而，在金融和政府等建议满足严格合规要求的行业，拥有CREST可以使流程更顺畅。

“从我们成员购买服务的政府、公共服务和企业在知情情况下进行，这些公司经过我们质量保证，其员工适当合格且有能力。”——CREST

风险——未认证的危害是什么？

未获得CREST可能意味着企业输给认证竞争对手、客户对能力缺乏信心，以及受监管行业面临合规要求问题。使用未认证公司的客户常遇到以下问题：

对业务缺乏信任和可信度，可能质疑技术能力
根据合规法规，可能拒绝业务、战略伙伴关系和特定合同
可能认为业务不专业，感觉缺乏成熟度和适当质量检查

地域范围——CREST认证的覆盖范围？

CREST起源于英国，但现在是全球认可的认证。

“CREST是代表全球网络安全行业的国际非营利会员组织。通过培育、衡量和增强个人与组织绩效的服务，CREST在全球网络安全行业构建能力、容量、一致性和协作。”——NCSC

替代方案——除了CREST还有其他选择吗？

有多种安全框架，例如：

CHECK：NCSC assured 公司可为公共部门以及CNI系统和网络进行渗透测试。“Pen Test Partners是NCSC批准的CHECK公司，提供IT系统渗透测试以识别潜在漏洞并推荐有效安全对策。”——NCSC
国家标准与技术研究院（NIST）：“一些NIST网络安全任务由联邦法规、行政命令和政策定义。例如，管理和预算办公室（OMB）要求所有联邦机构对非国家安全系统实施NIST的网络安全标准和指南。”——NIST
国家网络安全中心（NCSC）：网络评估框架是“为在英国日常生活中发挥 vital 作用的组织收集的网络安全指南，重点关注基本功能。”——NCSC

然而，CREST仍然是网络安全行业最受尊敬的评估之一。

CREST主席Rowland Johnson在关于Intigriti认证的声明中回应，Intigriti已成功通过我们 demanding 评估流程，评估了测试方法、法律和监管要求、数据保护标准、日志记录和审计、与利益相关者的内部和外部沟通，以及测试数据安全如何维护。Johnson补充道，通过认证Intigriti的渗透测试服务，CREST正式认可公司向客户 consistently 交付最高专业安全服务标准。

或联系团队了解更多关于漏洞赏金如何支持您的网络安全需求

作者

Eleanor Barlow
高级网络安全技术作家

获取CREST认证的完整指南：十大关键问题解析

本文详细解析CREST认证的十大核心问题，包括认证标准、流程、行业影响及替代方案，帮助安全团队了解这一国际权威认证的价值与实施路径，提升企业安全服务能力。