第三，網絡滲透測試需要專門的工具軟件，在很多情況下，這些工具并非可以隨處找到。盡管某些系統管理員完全具備編寫這些工具的能力，但是通常說來，將用于編寫工具的時間花在保護網絡上面效果會更好。

　　第四，網絡滲透測試中為關鍵的部分??編寫測試結果報告，實際上是極其枯燥乏味的。在后面的敘述部分中，我們可以只注意對于攻擊描述的詳細程度是怎樣的。同時也請牢記在心，我們會故意將某些東西簡化，以避免為如何進攻一個網絡提供完整的指導。與之相反，要編寫恰當的滲透測試報告，滲透測試人員必須保留極為詳細的筆記，然后花費幾個小時的時間來將它們合并成一份便于使用的文檔。測試報告必須足夠詳細，使得其他人能夠理解攻擊過程，否則這一報告將不會有多少價值。

　　以上幾點可以歸結為一句話：盡管了解入侵者是如何操作的、他們所依賴的操作實踐類型，以及他們采用的攻擊手段是非常關鍵的，但對于絕大多數的系統管理員及安全管理員來說，能夠實際地實施這些攻擊并非必需的。這如同欣賞藝術品一樣，與能夠創造它們相比是完全不同的要求。滲透測試是這樣的藝術品。我的建議是，把測試工作交給那些具備相應技能、思維清晰并且有時間來學習如何有效進行滲透的人。通常說來，這一任務好留給安全顧問們，因為他們具備技能、工具、頭腦，所以你對網絡的預先了解并不會影響他們。我們可以在郵件列表里，或者新聞組上面同其他公司的同事進行交談，并了解哪些人是真正的滲透測試顧問。同樣要謹記在心的還有，應用程序的滲透測試和網絡滲透測試是完全不同的兩種任務。原因很簡單，那些能夠在某些特定軟件產品中發現安全漏洞的人，并不一定能夠實施對一個網絡的滲透攻擊。如果你感興趣的是網絡滲透測試的話，那么尋找那些專攻網絡滲透測試的公司。應用程序的評估同樣是可以做到的，但這是另一種類型的任務，目標不同，而且它主要是針對那些進行內部軟件開發或使用定制軟件的公司。

　　如果你在負責為一次滲透測試簽訂合同，那么你要留意的法律問題是什么呢？首先也是重要的，我們強調再多次也不為過：確保簽署這一滲透測試合同的人，具備授權某人入侵這一網絡，也是授予“無罪釋放”令牌的權力。

　　目前，有許多人之所以在監獄服刑，是因為他們侵入了那些他們原本認為自己有權侵入的系統，然而不久之后他們認識到，實際上他們并沒有這一權力。對于那些想找人來入侵某個他們無權進入系統的人們，同樣的牢獄命運也許等待著他們。

　　其次，要確保你已經具備了效力充分的不泄漏保證協議，而且這些安全顧問將不會被允許保留任何公司的敏感信息，除非處于極其嚴格的數據保護標準之下。糟糕的事情莫過于，花錢雇傭一些人來入侵你的網絡，后卻發現網絡的設計圖被某人記錄下來，網絡的安全也隨后也被危及。而且，更危險的是，這些人會利用公司的敏感信息并將其兜售給其他別有用心的人。

　　再次，將這一測試報告視作一劑有益健康的“多疑癥注射劑”。當這一報告來源于一次黑盒測試時（在測試中，測試人員不具備訪問內部信息的權力，例如源代碼和賬號列表），這一點尤其正確，因為這恰好展示了在沒有內部信息的情況下入侵者所能實施的行為。安全管理員可能犯下的大錯誤是假設一切都沒有問題。

　　后，請對“你的網絡是安全的”這類近乎虛構的報告結論保持警覺。這一情況出現的頻率高得令人擔憂，基于他們無法滲透進入任何系統的事實，安全顧問會向你提交一份報告，其中宣稱這一網絡是安全的。這并不意味著你的網絡的確是安全的。如果某一名滲透測試人員告訴你，你的網絡是安全的，那么他的這一番話只能表明他的能力不足以證明網絡是不安全的。你的網絡其實并不安全。它僅僅對那些滲透測試人員了解如何利用的漏洞或問題有足夠的防護能力。合同中應當明確聲明，怎樣才能構成一次成功的入侵，以及如果滲透測試人員無法完成一次入侵，酬金會減少多少。這里至關重要的一點，漏洞分析工具的輸出結果并不能等同于一次網絡滲透測試。