Пентест, что это и для чего он нужен?

Пентест (от англ. Penetration testing) — дословно переводится как тестирование на проникновение. Выражаясь «более простыми» для нас словами, пентест — способ тестирования кибер уязвимостей в какой-либо организации, предприятии или компании.

Тестирование на проникновение — это как проба пера, позволяет специалистам в области кибербезопасности (в данном случае — пентестерам) выявить уязвимые и слабые места в системе безопасности, которые может использовать злоумышленник, как на виртуальном уровне, так и на физическом.

«Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании»

(Википедия)

Пентесты имитируют реальную атаку. Сканируется вся сеть, сайты, приложения, устройства, возможность физического доступа, что бы определить, как будет работать механизм защиты. Они выполняют оценку не только с точки зрения хакера, но и эксперта в области кибербезопасности, что позволяет в дальнейшем проанализировать работу систем защиты и сделать соответствующие выводы. Пентестеры помогают найти уязвимые места и своевременно ликвидировать их.

white hat

Пентестеры — профессионалы занимающиеся легальным взломом и проникновением в сеть предприятия.

Кто проводит пентесты?

Чаще всего этим занимаются люди не связанные с объектом. В идеале IT сотрудники компании, в которой проводится пентест, не должны участвовать в самом пентесте. Просто потому что они знают как устроена их сеть, знают её защищенные места и возможные бреши. Однако так же они могут пропустить или не замечать «белых пятен» в защите своей компании, о которых не забудет профессиональный пентестер. Возможно вы когда-нибудь слышали такое выражение как White Hat или белые шляпы именно их относят к пентестерам. Это такие хакеры, только легальные. Говоря простым языком, пентест — это когда вы нанимаете специально обученных людей чтобы они сломали вашу систему.

Какие бывают виды пентестов (тестов на проникновение)?

Все пентесты можно подразделить на несколько видов по методу проведения со всеми вытекающими последствиями.

  • «Белый ящик» — в данном испытании на проникновении пентестеру будет предоставлена некоторая информация о реализованной структуре безопасности организации. Такой подход к проведению пентеста может быть реализован вместе с ИТ отделом организации и командой тестирования на проникновение;
  • «Черный ящик» (или «слепой тест») — в этом случае, имитируется действия реального злоумышленника, поскольку специалисту или команде, не предоставляют никакой существенной информации, кроме названия и базовых данных для общего представления о работе компании;
  • Скрытый пентест (также известный, как «двойной слепой») — в этой случае, о существовании проведении тестирования может знать лишь малая часть сотрудников организации, в том числе ИТ-специалисты и специалисты по безопасности, которые будут реагировать на атаки не обладают информацией о существующей проверке. Для такого вида тестов, очень важно пентестеру или команде иметь соответствующий документ, что бы избежать проблем с правоохранительными органами, в случае должного реагирования со стороны службы безопасности;
  • Внешний пентест — атака «этическим» хакером, которая осуществляется против внешних серверов или устройств организации, такие, как их веб-сайт и сетевые серверы. Цель состоит в том, чтобы определить, может ли злоумышленник проникнуть в систему дистанционно и как далеко, если все-таки может;
  • Внутренний пентест — имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий, например, какие-то личные счеты с руководством компании.

Что тестируют на взлом при пентесте?

В данной статье мы говорим об IT составляющей, но на практике пентесты так же бывают и с физическими объектами. К примеру те же банки могут нанимать «медвежатников» для тестирования своих сейфов на взлом. Так же существуют целые категории различных антивандальных устройств, которые так же необходимо тестировать перед реальной эксплуатацией. К физическим пентестам стоит отнести такие вещи как:

  1. проверка и взлом замков;
  2. нарушения работы и обход датчиков;
  3. попытка вывода из строя систем видеонаблюдения или отдельных камер;
  4. и т.д.

Но если говорить о сфере ИТ, то можно выделить такие вещи как:

  1. выявлении уязвимостей сетевого и системного уровня.
  2. использование злонамеренных скриптов и программ;
  3. определение неправильных конфигураций и настроек;
  4. попытка неправильных настроек ведущих к сбою;
  5. выявление уязвимостей беспроводных сетей;
  6. социальная инженерия или мошеннические услуги;
  7. банальное отсутствие надежных паролей и наличие слабых протоколов шифрования.
  8. брутфорс слабых паролей;
  9. и т.д.

Как проводится пентест?

В классической форме пентест будет содержать в себе несколько основных фаз. Они буду последовательны и каждая зависит от предыдущей. Начинается всё со сбора информации и поиска данных о самой организации и её сотрудниках. Тут может использовать открытая информация и социальных сетей, сайта компании, на форумах и блогах. Профессиональный пентестер может так же использовать какие-то свои секретные базы данных с компрометирующей информацией.

После сбора информации переходят к поиску технической базы. Определяется какие технические средства используются в предприятии. На этом этапе важно максимально точно найти все возможные системы, приложения, сайты, серверы и всё что входит в локальную сеть предприятия. Сюда входит всё что торчит наружу из сети, Тут могут быть и банально беспроводные точки доступа и даже какие-нибудь «умные» лампочки вкрученные в кабинете директора.

В дальнейшем, после сбора всей необходимой информации о организации можно приступить к анализу обнаруженных уязвимостей. Подбирается необходимый инструментарий. Он может состоять из бесплатных утилит или быть платным коммерческим ПО.

Важным этапом является реальная эксплуатация проблемных мест в безопасности организации и попытка кибератаки. Используя все найденные данные ранее происходит попытка взломать максимально доступное количество объектов и попытка добраться до критически важной информации.

В заключении в обязательном порядке формируется отчет о проделанной работе. В этот отчете, должны быть подробно описаны все проблемные места, а также методы и способы взлома, которые использовали пентестеры.

Для удобства восприятия информации всё это можно заключить в небольшой список:

  1. Сбор информации
  2. Поиск технической базы
  3. Анализ уязвимостей и угроз
  4. Эксплуатация и имитация реальной кибератаки
  5. Формирование отчета

А зачем вообще это нужно?

Для чего вообще проводятся пентесты? Даже самое простое тестирование на проникновение может показать реальную картину существующей угрозы в системе безопасности  предприятия. И определить уязвимые места в сетевой инфраструктуре организации. Регулярное проведение пентестов позволяет определить мощности технических ресурсов и возможные сбои в инфраструктуре, а так же повысить общий уровень информационной грамотности служебного персонала. Как результат, при регулярных пентестах сотрудники ИТ отдела смогут на практике увидеть целесообразность тех или иных мер, например покупку нового программного обеспечения.

Если статья заставила вас задуматься – то цель достигнута. Следите за новостями и подписывайтесь на мои группы VK в низу сайта. А если эта статья заинтересует много читателей, то я попробую взять интервью у классных пентестеров, настоящих профессионалов, которые уже более грамотно и на собственном опыте расскажут что такое пентест.

Добавить комментарий

Ваш адрес email не будет опубликован.

Похожие записи: