成为CREST认证需要什么?十大问题解答
目录
- 声誉——什么是CREST?
- 道德准则——公司如何获得CREST认证?
- 透明度——Intigriti与CREST如何对齐?
- 增强能力——CREST如何影响Intigriti渗透测试?
- 安心保障——企业为何应与CREST认证的漏洞赏金公司合作?
- 质量保证——CREST认证对企业有哪些好处?
- 行业影响——CREST认证是强制性的吗?
- 风险——未认证有哪些危害?
- 地理范围——CREST认证的覆盖范围?
- 替代方案——除了CREST还有其他选择吗?
声誉——什么是CREST?
CREST是网络安全行业质量保证认证的黄金标准。作为全球认可的非营利性网络安全权威机构,它严格评估组织在质量、技术熟练度和运营完整性方面是否符合严格标准。
“在当今数字世界中保护信息安全是一项严峻挑战,因此所有组织都希望确保他们聘请来测试和保护系统的网络安全公司信誉良好且能力出众。"——CREST
道德准则——公司如何获得CREST认证?
首先,需要区分认证(accreditation)和资格证书(certification)。
CREST认证针对组织设计。 CPSA、CRT和CCSAS等资格证书针对个人设计。
要获得CREST认证,组织必须提交详细申请,接受政策、流程和方法的审计,并通过员工个人CREST资格证书展示组织理解。
为维持CREST认证,组织必须接受定期重新评估以确保合规性。
“所有成员签署可执行的《行为与道德准则》,并同意遵守我们的《投诉与解决措施》。"——CREST
透明度——Intigriti与CREST如何对齐?
CREST认证展示公司在道德黑客、渗透测试和网络安全最佳实践方面符合标准。
Intigriti首席执行官Stijn Jans评论此认证时表示,CREST认证被广泛认为是严格、有效和可信渗透测试的标志。为我们的渗透测试服务获得这一 prestigious distinction不仅强化了我们的专业知识,也强调了我们为客户提供最高标准安全测试的承诺。
增强能力——CREST如何影响Intigriti渗透测试?
CREST认证涵盖一系列网络安全服务,包括渗透测试、漏洞评估、威胁情报、事件响应和安全运营中心。
Intigriti的渗透测试即服务(PTaaS)具有可扩展性、灵活性,并基于按影响付费模式,确保客户只为经过验证的有影响力发现付费。现在通过CREST认证增强,Intigriti服务将可信合规性与真正创新相结合。
与锁定在静态按时间付费方法的传统渗透测试不同,Intigriti解决方案提供实时验证,并吸引前2%的道德黑客,确保最大投资回报率和根据实际需求定制的评估。这一独家产品重新定义了渗透测试的价值和效率,挑战行业的过时规范。
“CREST自2006年开始认证渗透测试公司,到2021年底已评估全球300多家提供渗透测试服务的组织。在此期间,对渗透测试的期望已经演变。同时,可用于提供渗透测试的工具集、平台和交付方法也发生了显著变化。"——CREST
安心保障——企业为何应与CREST认证的漏洞赏金公司合作?
CREST认证是网络安全领域质量和专业性的有力指标。获得CREST认证确保服务交付和方法符合CREST标准。这意味着安全、可靠和合规的解决方案不仅保护客户数据,还帮助客户保持法规合规性、降低风险并改善整体安全状况。
对客户的五个好处包括:
- 最新专业知识
- 训练有素的安全专业人员
- 客户保证
- 全球接受的认证
- 法规合规协助
“不合规的罚款范围从数万到数百万美元。例如,2万美元的渗透测试可以帮助避免10万美元的罚款,提供400%的投资回报率”——AdamsBrown
质量保证——CREST认证对企业有哪些好处?
获得CREST认证有许多好处。获得认证的公司可以:
- 突出市场竞争优势
- 提供技术能力证明
- 竞标强烈偏好此认证的行业合同
- 与客户建立信任
“受信任公司的表现比同行高出400%,信任品牌的客户再次购买的可能性高出88%。"——德勤
行业影响——CREST认证是强制性的吗?
公司不需要获得CREST认证,这不是法律要求。然而,在一些行业,包括金融和政府,建议满足严格合规要求,拥有CREST可以使流程更顺畅。
“从我们成员购买服务的政府、公共服务和企业知道这些公司经过我们质量保证,其员工具备适当资格和能力”——CREST
风险——未认证有哪些危害?
未获得CREST认证可能意味着企业输给认证竞争对手,客户对能力缺乏信心,受监管行业面临合规要求问题。使用非认证公司的客户经常遇到以下问题:
- 对业务缺乏信任和可信度,可能对技术能力产生疑问
- 根据合规法规,可能拒绝业务、战略合作伙伴关系和特定合同
- 可能认为业务不专业,感觉缺乏适当质量检查的成熟度
地理范围——CREST认证的覆盖范围?
CREST起源于英国,但现在是全球认可的认证。
“CREST是一个国际非营利性会员机构,代表全球网络安全行业。CREST通过培育、衡量和增强个人和组织绩效的服务,在全球网络安全行业建立能力、容量、一致性和协作。"——NCSC
替代方案——除了CREST还有其他选择吗?
存在多种安全框架。一些示例包括以下列表:
- CHECK:NCSC assured公司可以为公共部门以及CNI系统和网络进行渗透测试的方案。“Pen Test Partners是一家NCSC批准的CHECK公司,提供IT系统渗透测试以识别潜在漏洞并推荐有效的安全对策”——NCSC
- 国家标准与技术研究院(NIST):“一些NIST网络安全任务由联邦法规、行政命令和政策定义。例如,管理和预算办公室(OMB)要求所有联邦机构为非国家安全系统实施NIST的网络安全标准和指南。"——NIST
- 国家网络安全中心(NCSC):网络评估框架是"为在英国日常生活中发挥关键作用的组织收集的网络安全指南,重点关注基本功能。"——NCSC
然而,CREST仍然是网络安全行业最受尊敬的评估之一。
CREST主席Rowland Johnson在关于Intigriti认证的声明中回应称,Intigriti已成功通过我们苛刻的评估过程,该过程评估了测试方法、法律和监管要求、数据保护标准、日志记录和审计、与利益相关者的内部和外部沟通,以及测试数据安全的维护方式。Johnson补充说,通过认证Intigriti的渗透测试服务,CREST正式认可公司向客户持续提供最高专业安全服务标准。
有关Intigriti和CREST认证的更多信息,请阅读完整新闻稿“CREST认证强化Intigriti的渗透测试卓越性”
或者,有关漏洞赏金如何支持您的网络安全需求的更多信息,请联系团队。
作者
Eleanor Barlow
高级网络安全技术作家