Какой бывает пентест?

Тестирование на проникновение бывает двух видов: 

• Внутреннее: эксперт (он же пентестер) выступает в роли обычного пользователя — работника компании, имеющего доступ к системе и локальной сети организации;
• Внешнее: тестировщик выступает в роли третьего лица, не имеющего доступа к системе и старающегося использовать весь известный ему арсенал уязвимостей, ошибок и возможных слабостей для проникновения внутрь периметра. 

Конечно, тестировать можно не только периметр безопасности компании. Например, в рамках пентеста можно также обратиться к методам социальной инженерии для проверки сотрудников, провести пентест сайта на устойчивость к DDoS-атакам, проанализировать работу беспроводных сетей или сетевого трафика и даже смоделировать кибератаку на компанию. 

Выделяют три метода анализа защищенности:

• «Белый ящик» (WhiteBox) — пентестеру предоставляется полный доступ и вся необходимая для него информация к тестируемым IT-ресурсам. 
• «Чёрный ящик» (BlackBox) — пентестер имитирует действия злоумышленника: используется только общедоступная информация, которую ему удастся найти;
• «Серый ящик» (GrayBox) — комбинированный вариант, позволяющий меньше времени потратить на анализ и больше поиску уязвимостей. 

Зачем нужен пентест?

1. Выявление уязвимостей периметра. Пентестеры находят слабые места, которые нужно «залатать»: это может быть устаревшее программное обеспечение, неправильная конфигурация сетевых устройств и многие другие моменты.
2. Оценка эффективности защиты. Тестирование показывает, насколько корректно и эффективно функционирует система защиты и как она справляется с угрозами, в том числе — с новыми методами взломщиков.
3. Оценка осведомленности сотрудников. Пентест поможет проверить готовность сотрудников к реальным атакам: достаточно ли они осведомлены, хорошо ли отработан алгоритм действий и где стоит запланировать дополнительное обучение.
4. Соблюдение требований регуляторов. Например, банки и НКО обязаны проводить пентест ежегодно, согласно положению 683-П ЦБ РФ.
5. Для проверки периметра после корректировок или внедрения нового ПО. Например, после инцидентов безопасности — чтобы убедиться, что проблема была решена и подобная ситуация больше не повториться. Также можно и нужно проводить пентест после усиления или изменения мер безопасности, серьезных корректировок в программном обеспечении и так далее.

Какие существуют этапы пентеста?

В зависимости от метода тестирования («ящика») этапы могут незначительно отличаться. Например, если пентестер действует по методу «Черного ящика», тестирование будет выглядеть так:

1. Сбор информации о заказчике.  Пентестеры стараются собрать максимальное количество информации о компании, сотрудниках, уровнях допуска из открытых источников. Собирается вся та информация, которая может быть найдена и использована против организации в реальной атаке.
2. Анализ технической базы. Следующий этап — поиск и анализ информации об ИТ-периметре компании. Пентестеры выясняют, какие операционные системы и программные продукты используются. На основе этих данных можно определить список потенциальных уязвимостей — например, компонентов программ, которые позволят получить несанкционированный доступ. Для поиска уязвимых мест используются специальные программы и утилиты.
3. Эксплуатация уязвимостей.  Далее можно переходить к активным действиям — имитации реальной атаки. По ее итогам производится анализ, который учитывает затраченное на взлом время, потенциальные финансовые риски и так далее. 
4. Формирование отчета по атаке.  Развернутый отчет об успешных и неуспешных этапах, а также рекомендации, которые помогут разобраться со слабыми местами периметра компании. Тест на проникновение охватывает большое количество пунктов для проверки, поэтому можно получить максимально полную информацию. 

Кому нужно?

Некоторые уверены: пентест нужен только организациям, работающим с грифом «секретно». На самом же деле тестирования актуальны для компаний разных размеров и направленностей. Например:

• Компаниям, работающим с персональными данными.  Утечки персональных данных — одна из актуальных проблем. Поэтому, в первую очередь, о регулярных пентестах стоит побеспокоиться организациям, работающим с персональными данными и конфиденциальной информацией. Так можно не волноваться о личных данных клиентов и потенциальном крупном ущербе.
• Банкам и финансовым организациям. В первую очередь — для безопасности клиентов, а также для соответствия требованиям о защите информации финансовых организаций (ГОСТ 57580) и другим законодательным стандартам.
• Предприятиям критической инфраструктуры. Для КИИ необходимо регулярно проводить пентесты — например, для ввода объекта в эксплуатацию, подтверждения соответствия законодательным требованиям (приказ ФСТЭК России № 239, Указ №250) и так далее./li>
• Другим. Для компаний, связанных с электронной коммерцией, а также для промышленных предприятий пентест позволит не допустить ущерб от простоя в случае успешной атаки, а также сохранить свою репутацию перед партнёрами и заказчиками

Кто должен проводить и когда?

Угрозы постоянно меняются: хакеры регулярно находят новые уязвимости и методы для несанкционированных проникновений. Эксперты «Лаборатории Касперского» отмечают: первом полугодии 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023 года. Поэтому так важно готовить периметр и проводить регулярные пентесты. Их периодичность зависит от сферы деятельности компании (например, банков и НКО обязательным является ежегодное проведение). 

Проведение тестирований лучше доверить компетентному специалисту со стороны, а не возлагать на сотрудников службы безопасности компании. Ведь это отличная возможность беспристрастного и честного теста — к тому же, профессиональные пентестеры следят за новыми угрозами и регулярно повышают свою квалификацию. А значит, обладают нужным уровнем знаний и необходимыми инструментами, а также могут дать ценные советы, которые помогут усилить периметр компании.