В ходе пентеста компьютерные системы или сети подвергаются комплексному тестированию для определения их восприимчивости к атакам. В пентесте используются методы и приемы, применяемые реальными злоумышленниками или хакерами.
С помощью теста на проникновение, который часто называют пентестом, ИТ-эксперты используют направленные атаки для выявления восприимчивости компьютерных сетей или систем к попыткам взлома и манипуляций. Для получения несанкционированного доступа к системе они используют методы и приемы, аналогичные тем, которые используют хакеры или злоумышленники.
Пентест может быть использован для обнаружения слабых мест и лучшей оценки потенциальных рисков. Во время полного теста на проникновение ведется подробный учет всех реализованных мер. В итоговом отчете указываются выявленные уязвимости и решения по повышению уровня безопасности ИТ. Устранение уязвимостей и выполнение мер по усилению защиты не являются частью теста на проникновение. Объем тестирования основан на соответствующем потенциале риска системы, приложения или сети. Системы высокого риска, такие как общедоступные веб-серверы, обычно подвергаются более тщательному тестированию, чем внутренние приложения, не имеющие большого системного значения.
Цели тестирования на проникновение
Основная цель пентеста — выявить уязвимости в сетях и компьютерах на техническом и организационном уровне и задокументировать их в подробном отчете. Однако устранение выявленных уязвимостей является обязанностью заказчика или оператора обследованных ИТ-систем. Выполнение рекомендованных мер по устранению выявленных уязвимостей позволит повысить безопасность исследуемых систем. Возможные меры по исправлению ситуации могут включать обучение персонала, подбор кадров, отключение системы или установку исправлений и обновлений. Поскольку тест на проникновение не является непрерывным мониторингом компьютерной системы, его можно понимать как своего рода моментальный снимок состояния безопасности. Тесты на проникновение с применением социальной инженерии часто являются частью проводимых тестов. Предпринимается попытка получить доступ к информации или возможности доступа с помощью внутреннего персонала социальной инженерии. Цель тестов — выявить внутренние недостатки компании, которые можно устранить, например, путем информирования и обучения сотрудников.
Юридические аспекты тестирования на проникновение
Перед проведением тестов на проникновение организация, проводящая тест, должна получить согласие тестируемой организации. Без такого согласия тестирование является незаконным и может представлять собой уголовное преступление. В случае заявления о согласии проверка может касаться только объектов, находящихся в фактической компетенции проверяемой организации. Не допускается тестирование компьютерных систем или сетей третьих лиц. Перед проведением теста на проникновение заказчик должен указать, какие компоненты будут затронуты.
Разграничение терминов анализ уязвимостей и тестирование на проникновение
Сканирование уязвимостей — это общий термин, который может включать сканирование уязвимостей или безопасности, а также тестирование на проникновение. В отличие от пентеста, проведение сканирования уязвимостей или безопасности является автоматизированным. Системы проверяются путем автоматического запуска программ против известных проблем и уязвимостей безопасности.
С другой стороны, тестирование на проникновение практически не автоматизировано и проводится после тщательного сбора информации, часто вручную. Он настраивается и адаптируется к тестируемой системе. Планирование, реализация и выбор используемых инструментов при тестировании намного сложнее. Это позволяет выявить ранее неизвестную уязвимость безопасности в ходе пентеста. Используются специальные хакерские инструменты и методы атаки, выполняемые вручную. Тест на проникновение следует понимать как эмпирическую часть общего анализа уязвимостей.