这在很大程度上取决于情况和您的合同。
通常,进行物理渗透测试的知名公司在许多情况下都会为其渗透测试者提供广泛的指导方针。应遵循此类指示。我将粗略概述与此类第三方交互的可能方式:
当地警方
当地警察的待遇与其他地方的警察一样。攻击许可意味着您在法律上被允许进行物理渗透测试,而不是您有权无视警察。如果警察指示您表明自己或类似的身份,您必须效仿。
事实上,您正在进行渗透测试这一事实与任何警察互动都完全无关。根据当地法律与警方互动。
邻居
邻居是与你正在执行的渗透测试无关的人。你不能被授予对他们的任何权力,就像雇佣你进行渗透测试的公司对他们没有权力一样。
这并不意味着如果你碰巧看到他们在街对面做一些园艺工作并看看你从他们那里得到了什么样的信息,你就不能与他们进行友好的交谈。但就你的任务而言,他们与你在街上遇到的普通人没有任何不同。同样,您参与此渗透测试并不会改变任何事情。
第三方人员
这应该包含在您雇主的一般政策中,或在任务合同中指定。一般来说,他们很可能被视为客户的任何“普通”员工。
例如,如果您可以与受雇修理打印机的人一起走进外围,那就更好了。
编外人员
小心踩!尝试对客户、客人、患者等进行社会工程,很快就会成为一个非常困难的主题。这实际上应该事先与客户讨论,并明确写下来。
例如,在医院与患者互动可能会让他们和他们的家人感到不尊重,你想避免这种情况。
应急人员
万一发生地震,渗透测试将是我最不担心的事情。如果应急人员出现在现场,请尽可能帮助他们。你不知道情况,有人可能有生命危险。明天总是可以再次进行渗透测试。
真正的罪犯
立即联系安全或执法部门。不要扮演英雄,只做你的工作。