В этой статье расскажем о том, что такое пентест, объясним, каким компаниям он необходим, и что произойдет, если не проводить его регулярно.
Что нужно знать о пентесте
Хакеры и другие злоумышленники часто меняют свою стратегию и находят новые средства в попытках найти уязвимости в системе цифровой безопасности компаний. Как же бизнес может быть уверен в том, что их защитные меры действительно работают? Чтобы проверить защиту на прочность, необходимо смоделировать взлом. Именно для этого и существует процедура тестирования на проникновение, или пентеста (англ. pentest — penetration test). При этом успешная попытка взлома ничем не грозит бизнесу.
Основная задача проведения пентеста — обнаружить те слабые места в инфраструктуре и приложениях компании, которые в реальных условиях могли бы использовать хакеры. Вместе с тем проведение пентеста позволяет оценить эффективность принятых политик ИТ-безопасности и решить, нужно ли их менять. Также тестирования на проникновения иногда проводят, чтобы проверить готовность сотрудников к непредвиденным ситуациям.
Кому пригодится пентест
Банки и другие финансовые организации обязаны проводить пентест. Это правило регулируется, например, Положением 683-П и ГОСТ 57580. Они обязывают банки проводить тестирование на проникновение, чтобы оценить свои информационные-ресурсы. Это лишь один из существующих документов, за несоблюдение которых соответствующие ведомства могут выписать организации штраф.
Но проблема не только в санкциях и взысканиях. Все большее число частных и государственных предприятий систематически выполняют тесты на проникновение. Это помогает им убедиться в надежности своей системы защиты. Пентест сегодня — вклад в защищенность завтра. Ведь не обнаруженные в свое время лазейки могут закончиться для компаний крупными финансовыми потерями.
Кроме того украденные данные часто оказываются в распоряжении СМИ и могут пошатнуть авторитет компаний в глазах заказчиков и бизнес-партнеров. Однако, как мы уже упоминали выше, раскрытие конфиденциальной информации наносит вред не только репутации компаний, но и их финансовому состоянию. Так сохранность информации о жителях Евросоюза регулирует GDPR (General Data Protection Regulation, общий регламент по защите данных), и за его нарушение предусмотрены штрафы. При этом сумма взыскания зависит от уровня дохода компании, которой выписывается этот штраф.
Кто проводит тестирование на проникновение
Пентест — это сложный процесс с технической точки зрения. Один неверный шаг может привести к непоправимым последствиям, например к падению приложения или потере важных данных. По этой причине тестирование на проникновение лучше доверить опытным специалистам, которые обладают знаниями о том, как правильно проникнуть в систему, ничего при этом не повредив. Иногда таких профессионалов называют «белыми хакерами».
Перед подписанием договора компания и исполнитель согласовывают, что именно нужно проверить. К примеру, организации нужно понять, возможно ли изменить привилегии клиента в системе, украв его учетные данные. После проведения пентеста компания-исполнитель готовит детальный отчет. Обычно в него включают советы по ликвидации уязвимостей и предотвращению возникновения новых.
Виды пентестов
Два основных типа пентестов — внутренний и внешний. В первом первом случае компания-исполнитель работает в инфраструктуре заказчика и, например, пробует изменить (повысить) права пользователя.
Во втором случае удар по инфраструктуре заказчика наносится снаружи. Профессионалы выделяют 3 метода проведения внешнего пентеста — черный, серый и белый ящики. Расскажем подробнее о каждом из них.
Черный ящик. При тестирование этим методом компания-исполнитель ничего не знает об инфраструктуре заказчика и производит атаку, опираясь на собственные силы и информацию из открытых источников. То есть исполнитель воспроизводит действия хакеров. Так заказчик может проверить готовность своих систем к стандартным попыткам взлома.
Серый ящик. В случае с этим методом тестирования компания-исполнитель знает, как устроена инфраструктура заказчика, и моделирует целевые атаки и атаки с участием сотрудников компании. Этот способ помогает выяснить, насколько хорошо работает система по обеспечению информационной безопасности в целом, и как рядовой пользователь может захватить всю инфраструктуру компании.
Белый ящик. При тестировании этим методом компании-исполнителю известно о заказчике все вплоть до исходного кода. Этот способ помогает досконально проверить устойчивость защиты ко взлому рядовыми сотрудниками и найти максимальное количество уязвимостей в системах защиты.
Результаты пентеста для заказчика
Профессионалы, проводящие пентест знают, что нужно сделать, чтобы «закрыть» от хакеров ту или иную лазейку. В рамках финального отчета компания-заказчик получает список уязвимостей и все действия, которые помогли исполнителю ее обнаружить. В отдельных случаях исполнитель может предоставить четкие советы, например использовать конкретные решения или модели приборов с определенными настройками.
Тестирование на проникновение на аутсорсе
Обычно проведение пентест делегируют внешнему исполнителю, ведь лучшее тестирование — независимое. К тому же профессионалов, которые могут провести пентест, на рынке довольно мало из-за очень высоких требований к их квалификации. Крупный бизнес обычно делегирует проведение пентеста известным компаниям, чтобы не сомневаться в безопасности полученных данных.
Специалистам ITGLOBAL.COM Security доверяют многие лидеры рынка. Узнайте больше об услуге и закажите тестирование на проникновение у проверенного исполнителя.