Термин «тест на проникновение» означает комплексное исследование сетей или ИТ-систем с целью определения их уязвимости для кибер-атак. Используются приемы и методы, которые в экстренной ситуации использовали бы и криминальные хакеры.
Тест на проникновение часто называется пентестом и проводится опытными ИТ-экспертами.
Основы пентеста
Пентест позволяет выявить уязвимости и тем самым лучше оценить потенциальные опасности. В рамках теста на проникновение проводится подробное документирование всех примененных мер. Обнаруженные уязвимости впоследствии доводятся до сведения компании в виде отчета, а также подходов и решений с объяснением того, как можно повысить уровень безопасности ИТ в будущем.
Однако последующее устранение найденных уязвимостей безопасности и проведение оптимизации ИТ-систем не является частью пентестов. Точный объем тестирования зависит от потенциала угроз сети, приложения или системы. Если система подвержена особенно высоким рискам, как, например, в случае с общедоступным веб-сервером, пентесты обычно более обширны, чем для внутренних приложений, которые не имеют слишком тесного отношения к системе.
Каковы цели теста на проникновение?
Целью пентеста является обнаружение слабых мест и пробелов в безопасности компьютеров и сетей на организационном или техническом уровне. Затем они документируются в виде подробной оценки. Однако именно клиент несет ответственность за устранение пробелов в системе безопасности. Если обнаруженные уязвимости устраняются в рамках мер, рекомендованных ИТ-экспертами, уровень безопасности проверяемых систем значительно повышается.
Меры, которые могут быть рассмотрены для соответствующего исправления ситуации, включают, например, увеличение штата, обучение сотрудников, установку обновлений и исправлений или отключение системы. Пентест — это не то же самое, что непрерывный мониторинг ИТ, поэтому он является лишь моментальным снимком текущего состояния ИТ-безопасности.
Тест на проникновение часто включает в себя меры социальной инженерии. Они связаны с попыткой получить доступ или конфиденциальную информацию через внутренних сотрудников. Таким образом, пентест можно также использовать для выявления внутренних уязвимостей безопасности, которые можно устранить, например, путем информирования или обучения сотрудников.
Законодательная база
Важно, чтобы перед проведением пентеста организация, проводящая пентест, получила официальное согласие компании, которая будет проверяться. Если такого соглашения не существует, то тесты на проникновение являются незаконными и соответствуют уголовному преступлению.
Кроме того, даже при наличии заявления о согласии, тест на проникновение может включать только те объекты, которые эксплуатируются тестируемой компанией. Это означает, что не допускается тестирование сетей или ИТ-систем третьих лиц. Перед проведением пентеста клиент должен сделать четкое заявление о том, для каких компонентов может проводиться тестирование. Однако в настоящее время такая декларация усложняется, например, благодаря использованию различных облачных сервисов и ИТ-услуг.
