Пентест: что это такое и для чего необходимо

Чтобы понять, работают или нет ваши меры в области цифровой безопасности, их нужно проверить на прочность. В этом компании поможет пентест — метод оценки безопасности информационной системы путем моделирования хакерской атаки.

Главная цель пентеста — найти в инфраструктуре и приложениях уязвимости, которые могут быть использованы злоумышленниками. Кроме того, тестирование помогает определить эффективны ли разработанные политики в области IT-безопасности и стоит ли их совершенствовать. Еще пентесты проводятся, чтобы проверить готовность специалистов ИБ к отражению атак.


Кому нужен пентест

Для банков и финансовых организаций тестирование на проникновение — обязательная процедура, за неисполнение которой предусмотрены санкции. Но дело не только в санкциях. Многие коммерческие и государственные организации регулярно проводят подобную проверку, чтобы быть уверенными в надежной защите своих систем. Ведь незакрытые вовремя бреши способны привести к многомиллионным потерям.

Утечки не только портят имидж компании, подрывают доверие клиентов, но и приводят к штрафам. В отношении данных граждан европейских стран действует регламент GDPR (General Data Protection Regulation), компании за подобные утечки штрафуют. А размер штрафа рассчитывается по доходу материнской компании.

Кто проводит тестирование

Тестирование на проникновение — довольно сложная процедура. Поэтому пентест должны проводить опытные специалисты, которые знают, как «взломать» систему и при этом ничего не повредить — не привести ресурс к падению и не удалить критичную информацию.

Сначала стороны договариваются, что необходимо проверить. Допустим, что задача специалиста — выяснить, можно ли повысить привилегии пользователя в системе при наличии украденных учетных данных. После завершения тестирования заказчику поступает подробный отчет с рекомендациями по устранению и профилактике уязвимостей — например, ему советуют установить более строгую парольную политику.


Виды тестирования

Тестирование на проникновение можно поделить на внутреннее и внешнее. При внутреннем тестировании исполнитель действует внутри инфраструктуры клиента со своим ноутбуком, а при внешнем тестировании атака производится извне. Внешнее тестирование делится на три вида — «черный ящик», «серый ящик» и «белый ящик».

  1. Метод «черного ящика». Здесь исполнитель пытается произвести взлом, опираясь на собственные инструменты и открытую информацию. В этом случае компания проверяет, готовность ее системы к отражению типовых атак.
  2. Метод «серого ящика». Исполнителю известны данные об инфраструктуре, а в целевой атаке принимают участие инсайдеры — люди, работающих в компании и передающие сведения злоумышленникам. Этот способ поможет понять, работает ли система предотвращения утечки данных по вине сотрудников.
  3. Метод «белого ящика». Специалист по тестированию владеет всей информацией и даже исходным кодом. Таким методом проверяется, устойчива ли система к взлому сотрудниками уровня администратора или разработчика.

Поскольку тестирование проводят опытные специалисты, они понимают, что необходимо «подкрутить», чтобы устранить лазейку для злоумышленников. В итоговом отчете заказчик видит список уязвимостей и все шаги, которые привели к обнаружению и эксплуатации этой уязвимости. По договоренности сторон заказчик может получить и более конкретные рекомендации, вплоть до определенных защитных решений или моделей оборудования с нужными настройками.

Впоследствии тестирование на проникновение обычно  отдается на аутсорс, потому что лучшая проверка — независимая. Крупные компании стараются доверять проведение подобного рода процедур организациям с именем, чтобы быть уверенными в сохранности полученных результатов. 

Secute.ru - информационная безопасность