Этичный хакинг: что следует знать о пользе пентестов

Этичный хакинг: что следует знать о пользе пентестов

Тестирование на проникновение относится к процессу обеспечения безопасности ИТ-инфраструктуры для оценки ресурса (например, сети или приложения) с точки зрения пробелов в защите и уязвимости к киберугрозам. Пентесты — это не что иное, как контролируемые хакерские атаки, проводимые по принципу: «чтобы не стать жертвой хакера, надо думать как хакер». Пентест банков и других организаций — залог обеспечения надлежащей кибербезопасности ресурсов.

Что такое тестирование на проникновение?

Тесты на проникновение – это имитация хакерских атак на информационные системы. Их целью является фактическая оценка состояния безопасности данных ИТ-ресурсов. Этими ресурсами могут быть сети, всевозможные приложения (веб-приложения, мобильные приложения, настольные приложения) и вся ИТ-инфраструктура.

В рамках пентестов анализируются области на наличие потенциальных ошибок безопасности, вызванных, среди прочего:

• неправильной конфигурацией систем,
• уязвимостями,
• недостатками в технических или процедурных решениях,
• недостаточной информированностью пользователей.

Эффективное тестирование на проникновение должно максимально напоминать реальную хакерскую атаку. Пентесты должны заканчиваться отчетом, который, помимо обнаруженных уязвимостей, будет содержать решения, направленные на устранение этих уязвимостей или ограничение возможности их использования реальными киберпреступниками.

Тестирование на проникновение также известны как этический взлом, пентест или тестирование ИТ-безопасности.

Какие бывают виды пентестов?

Обычно существует три типа тестирования на проникновение. Они зависят от уровня знаний об изучаемой области:

• Black Box Pentest (тест черного ящика) — пентестер ничего не знает о тестируемой области и не имеет прав доступа к схемам/архитектуре; он используется для имитации внешней атаки.
• White Box Pentest — пентестер обладает полным знанием области тестирования и имеет права доступа к схемам/архитектуре; он используется для имитации как внешней, так и внутренней атаки.
• Grey Box Pentest (тест серого ящика) — нечто среднее между пентестом Black Box и White Box; в этом случае пентестер может получить частичную информацию об исследуемой области.

Кто проводит тестирование на проникновение?

Системный анализ проводится с точки зрения потенциального взломщика, т.е. так называемого пентестера.

Тестеры на проникновение должны как можно меньше знать тестируемую среду, а в идеале вообще ее не знать и приходить извне организации, которую они тестируют. Потому что только тогда они способны объективно взглянуть на изучаемую область и уловить большинство пробелов и неточностей. Профессиональный тестировщик обязательно заметит ошибки, которые пропустили программисты, строившие систему.