Тест на проникновение — это целенаправленная и разрешенная попытка проникновения в ИТ-системы с целью повышения уровня безопасности с помощью выявления существующих угроз.
В зависимости от того, что должно быть проверено, различают тест на проникновение в инфраструктуру и тест на проникновение в веб-приложения.
В способах тестирования различают три вида пентеста: «черный ящик», «белый ящик» и «серый ящик».
И, наконец, в зависимости от того, где (откуда) будет проводиться тест на проникновение, различают внешний тест на проникновение и внутренний тест на проникновение (и red-teaming).
Зачем проводить пентест
ИТ-безопасность — это состояние, при котором информация и ИТ-системы защищены с точки зрения конфиденциальности, доступности и целостности. Безопасность зависит от многих вещей, большинство из которых, к сожалению, не видны невооруженным глазом. Если дом защищен хорошим замком, это видно с первого взгляда. С ИТ-системами все не так просто. Пентестер действует на уровне IT-взломщиков (хакеров) и тестирует системы.
Без разрешения владельца тест на проникновение в ИТ является незаконным мероприятием. В зависимости от страны за это предусмотрено тюремное заключение сроком на несколько лет.
Пентестинг являются очень эффективной мерой для определения уровня безопасности. Именно поэтому его рекомендуют многие организации.
Тестирование на проникновение в ИТ-инфраструктуру
К этой категории относится тестирование, например, серверных систем, брандмауэров, сетей WLAN, VPN-доступа на наличие уязвимостей в системе безопасности.
Такие тесты были первыми пентестами, предложенными в истории ИТ-безопасности. Раньше пентестинг часто проводился бывшими хакерами. Однако проведение теста на проникновение силами бывших хакеров — не самая лучшая идея. Если бывший хакер все же имеет злой умысел, то ущерб будет очень велик. Риск просто слишком высок.
Сегодня тесты на проникновение в инфраструктуру по-прежнему являются важным фактором обеспечения ИТ-безопасности многих систем.
Тест на проникновение в веб-приложения
Веб-приложения — это интерактивные приложения, доступные через Интернет. В большинстве случаев с приложением можно работать через браузер. Примером классического веб-приложения является веб-магазин. Особенностью веб-приложения является то, что пользователи могут взаимодействовать с системой на разных платформах.
Существуют различия в том, может ли получить доступ к веб-приложению каждый (в большей степени это касается интернет-магазинов) или только ограниченная группа пользователей. Чем шире доступ, тем выше требования к ИТ-безопасности.
Другая специализация — тесты на проникновение для веб-услуг (сетевых услуг). Веб-службы используются для обмена сообщениями в формате XML и их не следует путать с классическими «сетевыми службами», такими как DHCP, DNS, Radius. Веб-сервисы описываются с помощью «Языка описания веб-сервисов» (WSDL) и управляются простым протоколом доступа к объектам (SOAP). Файл WSDL содержит определение того, что предлагает веб-сервис и как его использовать.
Вспомогательное программное обеспечение, помогающее пентестеру, необходимо. Однако в веб-приложениях нет возможности тестировать определенные классы ошибок только автоматически. Ручные процедуры тестирования незаменимы. Благодаря им выявляются:
- Ошибки в управлении доступом;
- Логические ошибки в процессе;
- Атаки, изменяющие различные входные параметры;
- Слабые места в разработке веб-обеспечения;
- Утечки информации.