Что такое черный ящик?
Это способ пентестинга, при котором пентестер не имеет никаких знаний об ИТ-инфраструктуре. Он должен действовать так же, как и хакеры. Это прямо противоположно тесту на проникновение «белого ящика». В нем пентестеру известно все об ИТ-инфраструктуре: какие серверы, операционные системы, сервисы и приложения запущены, какие порты открыты/должны быть открыты. Поскольку тестировщик располагает всей информацией, эффективность гораздо выше, чем при тестировании на проникновение методом «черного ящика».
Еще есть пентест методом «серого ящика», при нем в момент проникновения пентестер уже знает кое-что об ИТ-инфраструктуре. Назначение ИТ-систем также часто кратко упоминается во время встречи с заказчиком. Это наиболее распространенный подход, поскольку часто указываются диапазоны IP-адресов для тестирования, а определенные системы могут быть исключены.
Практика показывает, что клиенты, впервые заказывающие пентест, обычно предпочитают тестирование методом «черного ящика». Клиенты, заказывающие ежегодное тестирование на проникновение, обычно склоняются к тестированию «белого ящика».
Где (откуда) проводится тестирование?
- Внешний пентест
Этот подход достаточно популярен. Атака производится извне.
- Внутренний пентест
Если тестируемая компания имеет определенный размер (примерно от 50-100 сотрудников), внутренние факторы ИТ-безопасности приобретают все большее значение. Доверие к собственным сотрудникам больше не гарантируется узким коллективом, в котором все друг друга знают. Риск внутренней атаки увеличивается с ростом размера компании.
При проведении внутреннего теста на проникновение определяется цель. Это может быть, например, тестирование всех внутренних систем или тестирование безопасности против внутренних злоумышленников в определенных сценариях вторжения. Можно установить фокусные точки, такие как кража хэшированных паролей на контроллере домена.
Что такое Red-teaming?
Red teaming обычно немного шире, чем тест на проникновение. Red Team — это независимая группа, которая совершенствует структуры безопасности путем их тестирования и нападения на них. Обычно проверяются технологии (как в тестах на проникновение), люди (с помощью социальной инженерии), а также физические структуры (вторжение).
Что такое аудит информационной безопасности?
Аудит безопасности включает меры по анализу рисков и уязвимостей. Угрозами или опасностями могут быть (согласно базовой защите BSI): элементарные опасности, форс-мажорные обстоятельства, организационные недостатки, человеческие ошибки, технические сбои, преднамеренные действия. Аудит обычно охватывает больше областей, чем тест на проникновение, поскольку этот тест проникает гораздо глубже в область технической безопасности. Пентест существенно дополняет аудит.
Аудиты безопасности часто проводятся в контексте управления качеством. Примеры аудита: аудит защиты данных или аудит безопасности в соответствии с ISO 27001.
Что такое этичное хакерство?
Это синоним теста на проникновение, чаще используемый в английском языке. Этичное хакерство предполагает, что попытка взлома ИТ-систем происходит только с согласия владельца и поэтому этически оправдана.
Зачем пентестеры делают обзор кода?
Проверяется исходный код программы. Это часто делается для веб-приложений, так как прошивку оборудования обычно нельзя просмотреть (закрытый исходный код). Внимание уделяется таким критериям, как типичные ошибки, небезопасное программирование и т.д. Обзор исходного кода, выполненный человеком-разработчиком, дает наилучшие результаты.
Есть ли стандарты пентеста?
Тесты на проникновение все еще относятся к относительно молодой области информационных технологий и поэтому не стандартизированы. Существует несколько попыток стандартизации пентестов.
Один из наиболее важных опубликован ISECOM, это руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM). Он обеспечивает хорошее начало для базовой ориентации по пентестингу и подлежит постоянному пересмотру.