/ Новости сайта / Что такое пентест и для чего он нужен?
19Ноя penetration test

Что такое пентест и для чего он нужен?

337

Что такое пентест?


Penetration testing (он же - пентест) - тестирование на проникновение. Выражаясь "более простыми" для нас словами, пентест - способ тестирования уязвимостей в области кибербезопасности какой-либо организации, предприятия или компании, будь-то частной или государственной.

 

Тестирование на проникновение (в некоторых случаях - тестирование пера) позволяет специалистам в области кибербезопасности (в данном случае - пентестерам) выявить уязвимые и слабые места в системе безопасности, которые может использовать злоумышленник, как на виртуальном уровне, так и на физическом.

 

Если бы хакеры собирались совершить атаку на Вашу систему безопасности: как они это сделают и получиться ли у них? Тестирование на проникновение не заканчивается просто на обнаружении способов, с помощью которых потенциальный кибермошенник может получить несанкционированный доступ к конфиденциальной информации или захватить полный контроль над системой.

 

Пентестеры имитируют реальную атаку, просматривая сеть, сайт, приложения, устройства, возможность физического доступа, что бы определить, как будет работать механизм защиты. Они выполняют оценку не только с точки зрения хакера, но и эксперта в области кибербезопасности, что позволяет проанализировать соответствие политики кибербезопасности организации и осведомленности ее сотрудников об угрозах, например, со стороны социальной инженерии. В то же время определяют способность предприятия выявлять и своевременно реагировать на подобные инциденты.

 

Для общего представления можно привести пример с банком, который нанимает специального человека, делает из него "грабителя" и отправляет в отделение, с целью получить доступ к хранилищу. Если этот человек сумеет попасть в хранилище, то служба безопасности получит не только выговор, но и ценную информацию о том, как можно улучшить систему защиты и какие аспекты требуют более детального рассмотрения.

 

Кто проводит пентест?


Кто-то может сказать, что лучшим кандидатом будет сотрудник службы безопасности организации, который знает систему изнутри, ее слабые и сильные стороны, однако не все так однозначно. Если тест на проникновение будет проводить специалист с минимальным уровнем знаний о построенной системе защиты он с большей вероятностью найдет, так называемые, "слепые пятна", пропущенные разработчиками при построении и организации уровней защиты. Именно по этой причине, для проведения пентеста обычно заказывают услуги сторонних подрядчиков специализирующихся в данной сфере.

 

На эту роль также подойдут хакеры, "этические" хакеры (так же называемые, как "белая шляпа"). Эти ребята имеют большой опыт, который применяют в благих намерениях, с целью, повышения безопасности.

 

Лучшего кандидата не найти, поскольку все осуществляется индивидуально, все зависит от стратегии и вида пентеста, который желают выполнить представители организации.

 

Что включает в себя пентест?


  • Тест на проникновение в сеть:
  1. выявлении уязвимостей сетевого и системного уровня;
  2. определение неправильных конфигураций и настроек;
  3. выявление уязвимости беспроводной сети;
  4. мошеннические услуги;
  5. отсутствие надежных паролей и наличие слабых протоколов.
  1. выявление недостатков прикладного уровня;
  2. подделка запросов;
  3. применение злонамеренных скриптов;
  4. нарушение работы управления сеансами;
  5. и т.п.
  • Тест на физическое проникновение:
  1. взлом физических барьеров;
  2. проверка и взлом замков;
  3. нарушения работы и обход датчиков;
  4. вывод из строя камер видеонаблюдения;
  5. и т.д.
  • Тестирование на проникновение устройств (IoT):
  1. выявление аппаратных и программных недостатков устройств;
  2. брутфорс слабых паролей;
  3. определение небезопасных протоколов, API и каналов связи;
  4. нарушение в конфигурации и многое другое.

 

Какие существуют виды пентестов (тестов на проникновение)?


  • Пентест "белый ящик" - в данном испытании на проникновении пентестеру будет предоставлена некоторая информация о реализованной структуре безопасности организации. Так же, этот метод может быть реализован совместно с ИТ-командой организации и командой тестирования на проникновение;
  • Пентест "черный ящик" (или же - "слепой тест") - в этом случае, имитируется действия реального злоумышленника, поскольку специалисту или команде, не предоставляют никакой существенной информации, кроме названия и базовых данных для общего представления о работе компании;
  • Скрытый пентест (также известный, как "двойной слепой") - в этой ситуации, о существовании тестирования пера может знать лишь малая часть сотрудников организации (1-2 человека), в том числе ИТ-специалисты и специалисты по безопасности, которые будут реагировать на атаки не обладают информацией о существующей проверке. Для такого вида тестов, очень важно пентестеру или команде иметь соответствующий документ, что бы избежать проблем с правоохранительными органами, в случае должного реагирования со стороны службы безопасности;
  • Внешний пентест - атака "этическим" хакером, которая осуществляется против внешних серверов или устройств организации, такие, как их веб-сайт и сетевые серверы. Цель состоит в том, чтобы определить, может ли злоумышленник проникнуть в систему дистанционно и как далеко, если все-таки может;
  • Внутренний пентест - имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий какие-то личные счеты по отношению к руководству.

 

Какие этапы проведения пентеста?


  1. Сбор информации - поиск данных об организации и сотрудниках в открытых источниках, социальных сетях, на форумах и блогах;
  2. Поиск технической базы - определение существующих ресурсов, приложений и технических средств на предприятие;
  3. Анализ уязвимостей и угроз - обнаружение уязвимостей в системах безопасности и приложениях с применением набора инструментов и утилит, как коммерческих, так и разработанных непосредственно в компании пентестеров;
  4. Эксплуатация и обработка данных - имитация реальной кибератаки для получения сведений о любых уязвимостях с дальнейшим анализированием;
  5. Формирование отчета - оформление и презентация выводов выполненного пентеста с предложениями по улучшению существующей системы безопасности.

 

Зачем требуется проводить пентест?


Тестирование на проникновение показывает реальную картину существующей угрозы в системе безопасности и определяет уязвимости организации к ручным атакам. Проведения пентеста на регулярной основе позволит определить технические ресурсы, инфраструктуру, физические и кадровый арсенал содержащие в себе слабые аспекты, которые требуют развития и усовершенствования.

 

Именно, по той же причине, по которой Вы обращаетесь к доктору для ежегодной проверки здоровья, имеет определенный смысл обратиться к высококвалифицированным консультантам по безопасности для проведения тестирования безопасности. Конечно, можно сказать, что Вы абсолютно здоровы, тем не менее, специалист может провести тесты, чтобы обнаружить опасности, о которых, возможно, Вам даже неизвестно.

 

В конечном счете, тестирование на проникновение - элемент необходимый для обеспечения безопасности Вашей организации.


Статья для Вас была полезной? Расскажите о ней в социальных сетях:




Комментарии 0

avatar
Наверх