Тесты на проникновение (пентесты) проверяют ИТ-объекты и сети на уязвимость к атакам. Они не предписаны законом, однако в связи с опасностью кибератак являются важным шагом в обеспечении безопасности.
В эпоху ускоренной цифровизации все больше конфиденциальной информации и даже целые бизнес-процессы переносятся в облачные сервисы. Это делает провайдеров облачных услуг привлекательными целями для злоумышленников.
Кому нужен пентест?
Насколько уязвима сеть для кибер-атак можно выяснить с помощью тестов на проникновение. Не существует четких законов, предписывающих проведение таких проверок для компаний или органов власти. Для отдельных отраслей, таких как финансы, для данных, относящихся к налоговому и коммерческому законодательству, а также для обработки персональных данных уже давно существуют специальные нормативные акты, предусматривающие более строгое регулирование.
Именно здесь могут помочь пентестеры. Обычно это внешние компании, которые по поручению ИТ-операторов выявляют уязвимости и бреши в системе безопасности в контролируемых условиях, а затем отрабатывают реальные сценарии атак. Типичными отправными точками для проведения пентеста являются брандмауэры, веб-серверы, удаленный доступ (например, для удаленного обслуживания) и радиосети.
Каковы риски?
Межсетевые экраны практически созданы для кибератак, поскольку они выполняют функцию перехода между Интернетом и сетью компании, из-за чего являются первой отправной точкой для пентестов. В случае с веб-серверами потенциал высокого риска заключается в их широком использовании, обширных функциях и вытекающих отсюда уязвимостях. Отчет Tор 10, ежегодно публикуемый с 2003 года Open Web Application Security Project (OWASP), предоставляет ценную информацию о возможных слабых местах. В нем представлены десять наиболее важных рисков и типов атак в области веб-приложений. Цель отчета — привлечь внимание к наиболее известным уязвимостям в веб-среде. Эксперты по безопасности, разработчики программного обеспечения, менеджеры проектов и архитекторы программного обеспечения используют отчет в своей работе.
Однократный тест на проникновение не обеспечивает долгосрочную безопасность тестируемой ИТ-системы, поскольку новые дыры и уязвимости могут появиться даже сразу после завершения теста. Поэтому ответственные лица должны как можно регулярнее проводить тестирование своих ИТ-систем.
