交戰規則還可能限定哪些系統的漏洞可以利用、哪些不可以，比如客戶機；或者限定哪些攻擊手法可以用、哪些不可以用，比如社會工程學。

　　第9個秘訣：報告測試結果，并衡量進度。

　　滲透測試的目的是為了改善安全狀況，所以如果你在進行內部測試，測試報告應該會提供實用而具體的信息，以便你付諸實際行動。

　　InGuardians公司的Skoudis說：“目的是有助于增強安全性，以便管理人員做決定來改進業務，并且幫助運營團隊增強安全性。”

　　你應該出示一份測試摘要，不過報告重點應包括詳細描述這些方面的內容：發現的漏洞，如何利用這些漏洞，以及萬一真的發生攻擊，哪些資產面臨風險。詳細介紹用來滲透的每個步驟、被利用的每個漏洞，重要的可能是所有攻擊途徑。

　　Core Security公司的Solino說：“找出攻擊途徑的意義在于，可以通過破壞途徑來解決具體問題。”

　　建議措施一定要非常具體。如果需要改變架構，還要附上圖表。解釋如何證實解決方法已落實到位（可以用工具來衡量）。在涉及多個系統的情況下，還要解釋如何批量部署解決方法，盡可能使用組策略對象（GPO）。

　　確保每個建議的補救措施都附有注意事項：先全面深入地測試解決方法，之后才可落實到生產環境中。因為企業的IT基礎設施可能非常復雜。

　　Skoudis說：“這是個大問題。因為你不知道所有細微之處；你不應該破壞正常生產。”

　　滲透測試不應該是一次性的演練，應該對比連續幾次測試的結果。如果你在進行內部測試，要把變化部分放在一起，評估你的人員在如何解決問題。要是近一兩次測試發現的問題依然沒有得到解決，這表明貴企業可能有問題。也許是軟件補丁計劃沒有起到應有的效果，也許是開發人員沒有經過編寫安全代碼方面的相應培訓。

　　上面提到的那位大學安全主管說：“我們尋找的是趨勢。像你對待審計報告那樣。要是測試發現的是同樣一些漏洞，這表明可能存在比較嚴重的問題。”

　　第10個秘訣：決定誰是滲透測試人員。

　　決定要不要由內部的工作人員進行滲透測試，這得看貴公司的規模、竭力保護的信息具有的價值，以及想把內部資源投入到哪些方面。有些公司在安全部門下面可能還設有專門的滲透測試團隊或小組。內部團隊更有條件進行定期測試。要是貴公司規模龐大，組織結構分散，應制定相應機制，倡導可以共享信息的環境。

　　Verizon公司的Khawaja說：“如果你的內部團隊能夠共享信息，要確保他們有一個強大的知識庫，并依托成熟的知識管理系統。你要確保你在比利時的部門遭到的攻擊不會出現在巴西的部門。”

　　即使你進行一些內部測試，也有充足的理由需要聘請顧問進行至少一部分測試。有些法規要求必須由外部公司進行滲透測試；還要考慮到這點：內部人員可能非常了解目標系統，而且測試結果關系到他們的切身利益。所以，除合規要求之外，定期從外面請顧問來測試是個好想法。

　　出于同樣的原因，如果你真從外面聘請測試顧問，要記得不時更換廠商，像每過幾年要更換審計人員那樣。

　　那位大學安全主管說：“如果從外面請人來，測試結果更讓人放心了。因為不存在什么利益沖突。”

　　至于你的內部團隊，要找既知識面廣、又有好奇心的員工。

　　Core Security公司的Solino表示，有望成為滲透測試人員的培訓對象要深入了解各種網絡和應用協議，這是基礎。他通常注重好奇心和黑客的心理素質。

　　“既要有IT知識，還要具備不相信系統是安全的態度，主張‘大膽試一試！’。”

　　Skoudis說：“滲透測試是門藝術。雖說有一些工具和方法，但你在尋找目標系統和應用程序存在的問題時一定要有創意、有想法。”