Когда эксперты по ИТ и безопасности проводят авторизованные и смоделированные кибератаки на ваши компьютерные системы, это называется тестом на проникновение или пентестом. Пентест предназначен для выявления слабых мест в ваших системах и оценки уровня безопасности вашей компании.
Пентест может включать некоторые или все этапы, описанные ниже:
- Манипулирование сотрудниками с целью заставить их выдать конфиденциальную информацию или предоставить доступ к системам с помощью социальной инженерии;
- Физические вторжения для получения доступа к внутренним системам, а также для размещения скрытых точек доступа;
- Имитация вредоносного ПО через USB-носители или QR-коды;
- Сканирование и попытки вторжения на внешние серверы или подключенные к Интернету сервисы;
- Попытка физического проникновения на внутренние серверы и службы изнутри объекта;
- Атаки через беспроводные устройства, такие как Wi-Fi, беспроводные мыши и системы доступа RFID;
- Фишинг через электронную почту со ссылками и вложениями, содержащими имитацию вредоносного ПО;
- Тестирование приложений и аудит систем.
Все тесты на проникновение должны завершаться тщательным анализом и отчетом о проведенном тестировании и рекомендуемых действиях.
Как провести тест на проникновение
Одним из способов выявления пробелов в защите организации и проверки внутренних возможностей обнаружения и реагирования является создание «красной команды» (Red Team), которая имитирует атаку, проникая в среду внутри предприятия. Это можно сделать с помощью внешней и внутренней оценки уязвимостей и тестирования на проникновение, например, в форме тестирования «черного ящика», «серого ящика» или «белого ящика».
Глоссарий по тестированию на проникновение:
- Тестирование на проникновение или пентестинг — это оценка уязвимости, при которой сети и серверы активно атакуются профессиональной компанией для проверки, а затем оценки безопасности;
- Red Team — это группа, которая играет роль злоумышленников и осуществляет контролируемую попытку проверки киберустойчивости, уделяя особое внимание сотрудникам, процессам и технологиям;
- Социальная инженерия подразумевает манипулирование сотрудниками для совершения взломов. Английский термин — социальная инженерия. Цель — повлиять, обманом заставить жертву сообщить личную информацию;
- «Черный ящик» моделирует реалистичный сценарий, в котором злоумышленник не имеет представления о внутренней структуре и начинает атаку. Обычно только клиент имеет информацию о проводимом тесте, в то время как остальные сотрудники организации подвергаются тестированию;
- «Серый ящик» означает частично реалистичный сценарий. Атакующий обычно начинает действовать изнутри. Тест направлен на изучение того, что может сделать злоумышленник, оказавшись внутри;
- «Белый ящик» дает злоумышленнику полный доступ к системе и исходному коду, так что аудит системы может быть проведен изнутри.