Взлом ради защиты: что такое «тест на проникновение»
Сегодня вопросами информационной безопасности обеспокоена практически любая компания. Однако чтобы система успешно работала, недостаточно купить специализированный софт и нанять специалиста для его настройки. Чтобы своевременно узнать о существующих уязвимостях используется пентест.
Пентест для белорусского рынка — относительно новый тренд в сфере кибербезопасности. Это слово происходит от английского penetration test, что буквально означает «тест на проникновение».
Пентест проводится для того, чтобы на практике проверить степень устойчивости веб-ресурса, информационной системы или вычислительной сети компании к действиям потенциального злоумышленника.
При этом следует учитывать, что «нарушитель» может быть как внешним, так и «внутренним». Сам пентест может проводиться методами «белого» (когда сведения о целевой сети/системе/исходном коде известны команде пентестеров), «серого» (сведения о целевой сети/системе/исходном коде частично известны команде пентестеров) и «черного» (сведения о целевой сети/системе/исходном коде команде пентестеров не известны) ящика.
Метод выбирает сама компания-заказчик в зависимости от модели нарушителя, вызывающей наибольшие опасения. Так, если выбирается метод «белого ящика», то речь, скорее, идет об инсайдере. Если метод «черного», то тестируются сегменты, наиболее подверженные атакам неопределенного круга лиц из «внешнего» мира.
Основная задача пентестера — обнаружить слабые места в системе защиты компании, а также, с согласия заказчика, проэксплуатировать эти уязвимости. Позже все обнаруженные проблемы описываются в детализированном отчете, содержащем, как правило, в том числе и рекомендации по их устранению.
Зачем это нужно?
Ответ прост — своевременно проведенный пентест позволит избежать проблем в будущем, когда такие уязвимости обнаружат реальные злоумышленники и нарушат или вообще остановят нормальную работу сервиса, что повлечет за собой выход из строя веб-ресурса.
При этом сканирование сети при помощи специализированного программного обеспечения и настоящее тестирование на проникновение — не одно и то же. Чем же отличаются два этих мероприятия, мы узнали у начальника Центра кибербезопасности компании «АГАТ — системы управления» Александра Мохнача.
— Сканирование сети специализированными средствами — всего лишь подготовительный этап перед непосредственно пентестом, который проводится только вручную специалистом, достаточно овладевшим своей профессией, так сказать, «прокачавшим скилл», — пояснил он. — У каждого специалиста, помимо использования общего уникального «плейбука» Центра кибербезопасности, имеются свои предпочтения: кому-то по душе sql-инъекции, кто-то лучше других способен работать по xss-уязвимостям, а третьему интересно троллить «жертву» методами социальной инженерии.
В зависимости от скоупа задач (фронта работ), согласованных заказчиком, мы распределяем усилия всех участников команды так, чтобы в кратчайшие сроки отработать наиболее перспективные векторы атак, а затем сосредоточиться на тех направлениях, на которых получены первичные результаты.
Что же касается сканеров сети, это только инструмент, позволяющий в первые дни получить общую «карту местности». Мы и рассматриваем результаты работы сканеров только как «карту» для дальнейшего наступления, но не как результат пентеста.