«Мыслить, как киберпреступник» – тезис, который лежит в основе пентеста. Это наиболее эффективный метод оценки текущего уровня защищенности инфраструктуры организации за счет имитации действий злоумышленника. Специалистов, которые обладают необходимыми знаниями и навыками для этого, называют по-разному: этичные хакеры, белые хакеры, white hats или пентестеры. В этой статье рассказываем, как они работают и чем помогают бизнесу.
Пентест: что такое и для чего нужен
Слово «пентест» – это сокращение от английского сочетания penetration test, которое переводится, как «тестирование на проникновение», что тоже часто употребляют для обозначение этой услуги. Задача пентеста – найти уязвимости в системе, используя которые злоумышленник может нарушить процессы в организации и получить доступ к конфиденциальным данным.
Важно понимать, что проникновение в инфраструктуру и выявление слабых мест – не конечная точка. Главная цель пентестера – показать проблему, которая может нанести реальный ущерб компании, рассказать о рисках и путях решения. Самый ценный результат тестирования – понимание того, откуда может атаковать злоумышленник, и как эту атаку предупредить.
Про ящики: как происходит тестирование?
Есть три вида пентеста, различают их по количеству предоставляемой на старте информации о тестируемой инфраструктуре.
Blackbox, или Черный ящик
В этом случае пентестерам ничего неизвестно о компании перед началом тестирования, кроме ее названия. Команда работает в условиях, максимально приближенных к реальным. Однако отсутствие информации о специфике инфраструктуры порождает риск упустить специфические уязвимости.
Graybox, или Серый ящик
Информация передается частично. Например, диапазон IP адресов, которые можно просканировать, или список email-адресов. Этот способ позволяет сделать более прицельную проверку.
Whitebox, или Белый ящик
Пентестер имеет полный объем информации об инфраструктуре: о доступах, устройстве сети, средствах защиты и прочем. Используя ее, он может тщательно протестировать систему на разных уровнях.
Пентестеры – это те же хакеры?
И да, и нет. С одной стороны, они обладают всеми необходимыми для этого навыками, с другой – пускают их исключительно во благо. Порой случается, что хакеры меняют «черную шляпу» на «белую» и успешно трудятся на поприще защиты информации. Пример тому истории Кевина Митника или Майкла Калса, которые, будучи в свое время известными киберпреступниками, перешли на светлую сторону.
Пентест всегда производится только с согласия владельца инфраструктуры. Негативное влияние на системы информационной безопасности исключается, обеспечивается абсолютная конфиденциальность данных.
Зачем бизнесу проводить пентест?
Ежегодно проводить тестирование на проникновение по закону обязаны только финансовые организации. Для остальных компаний нет строгих требований, однако это не умаляет ценности и важности пентеста. Он позволяет проверить эффективность защиты инфраструктуры, выявить слабые места и предотвратить атаку еще до ее наступления. Пентест становится первым шагом на пути к формированию или совершенствованию ИБ-инфраструктуры.