Что такое тестирование на проникновение, как и кто его проводит

Цель имитации атаки – выявить слабые места в защите системы, которыми могут воспользоваться злоумышленники. Пентест - представляет собой широкий перечень услуг (внутренний, внешний пентест, а также иные услуги).

Проведём аналогию: банк нанял человека, который переоделся в грабителя и попытался проникнуть в здание с целью получить доступ к хранилищу. Если "преступник" достиг своей цели, банк получит ценную информацию о том, как ему следует усилить меры безопасности.

Кто проводит пентесты?

Лучше всего, чтобы пентест проводил человек, не имеющий практически никаких знаний о том, как защищена система, поскольку он может выявить "слепые пятна", упущенные разработчиками. По этой причине для проведения тестов обычно привлекаются внешние подрядчики. Их часто называют "этичными" или "белыми хакерами" (white hat в англоязычном жаргоне) – ведь они взламывают систему санкционированно и с целью повышения безопасности. То есть с законными мотивами.

Многие этичные хакеры – опытные разработчики с высшим образованием и сертификацией по пентестам. С другой стороны, некоторые из лучших этических хакеров – самоучки. Есть и вообще перевоспитавшиеся криминальные хакеры, которые теперь используют свой опыт для устранения недостатков безопасности, а не для их эксплуатации.

Лучший кандидат для проведения пентеста может сильно различаться в зависимости от целевой компании и типа исследования, который она хочет запустить.

Существующие типы тестов на проникновение

Открытая проверка (white-box) – хакеру заранее предоставляется обширная информация о безопасности целевой компании.

Закрытый пентест (black-box) – также известен как "одиночный слепой" тест, при котором хакеру не предоставляется никакой справочной информации, кроме названия целевой компании.

Скрытый пентест – также известный как "двойной слепой" пен-тест, это ситуация, когда почти никто в компании не знает, что проводится пентест, включая специалистов по ИТ и безопасности, которые будут реагировать на атаку. Для скрытых тестов очень важно, чтобы хакер заранее в письменном виде описал масштаб и другие детали теста, чтобы избежать проблем с правоохранительными органами.

Внешний пентест – хакер работает с технологиями компании, обращенными к внешнему миру, такими как веб-сайт и серверы внешней сети. В некоторых случаях хакеру даже не разрешается входить в здание компании. Это может означать проведение атаки из удаленного места.

Внутренний пентест – хакер проводит тест из внутренней сети. Этот вид теста полезен для определения того, какой ущерб может нанести негативно настроенный сотрудник, имеющий доступ к брандмауэру компании.

Как проводится типичный пентест?

Пентест начинаются с этапа разведки, во время которого этичный хакер собирает данные и информацию, необходимые для планирования имитации атаки. После этого основное внимание уделяется получению и сохранению доступа к целевой системе, для чего требуется широкий набор инструментов.

Инструменты для атак включают программное обеспечение, предназначенное для проведения атак методом перебора или SQL-инъекций. Существует также оборудование, специально разработанное для проведения пентестов, например, незаметные устройства, которые можно подключить к компьютеру в сети, чтобы предоставить хакеру удаленный доступ к этой сети.

Кроме того, этичный хакер может использовать методы социальной инженерии для поиска уязвимостей. Например, отправлять фишинговые электронные письма сотрудникам компании или даже маскироваться под курьера, чтобы получить физический доступ в здание.

Хакер завершает проверку, заметая следы; это означает удаление любого встроенного оборудования и все остальное, что он может сделать, чтобы избежать обнаружения и оставить целевую систему в том виде, в котором он ее нашел.

Что происходит после проведения теста на проникновение?

После завершения пен-теста этичный хакер поделится своими выводами с командой безопасности целевой компании.

Эта информация может быть использована для внедрения обновлений безопасности, чтобы устранить все уязвимости, обнаруженные в ходе тестирования. Эти обновления могут включать ограничение скорости запросов, новые правила WAF, защиту от DDoS, а также более строгую проверку и санитаризацию форм.