Тестирование на проникновение (сокр. ПенТестинг, от англ. Penetration Testing) – это процедура (попытка) оценки реальной защищенности информационной системы с использованием контролируемых и максимально безопасных для инфраструктуры и бизнес-процессов атак, а также выявление и попытки эксплуатации уязвимостей. Пентест позволяет предоставить детальную информацию о существующих проблемах безопасности, распланировать наиболее важные направления по улучшению реальной защищённости информационной системы.
Пентест – одно из наиболее быстро развивающихся направлений в области информационной безопасности. Так, согласно прогнозу Orange Business Services и IDC по рынку корпоративных услуг безопасности в Российской Федерации, среднегодовой темп роста данной услуги достигнет 4,7% в год в ближайшие 5 лет. Аналогичная тенденция наблюдается за рубежом. Так, по данным британского агентства ITJobsWatch , рынок данной услуги за последние 3 года уже вырос более чем в 2 раза. У нас можно заказать пентест услуги недорого.
Пентест vs. аудит информационной безопасности.
Формально, тестирование на проникновение – один из элементов аудита защищенности информационной системы. В реальности, именно пентест позволяет оценить реальную защищенность IT-инфраструктуры от реальных атак потенциальных злоумышленников (и оценить зрелость IT-бизнес-процессов). Т.е. по факту – это возможность проверить, способна ли система защиты выявить и предотвратить попытку взлома информационной системы.
Однако, фраза «Мы вас попробуем взломать!» может испугать любого руководителя организации, т.к. сбой критичных сервисов, потеря времени на восстановление после взлома (отказа ПО и оборудования) может привести к многомиллионным убыткам.
Данное утверждение основывается на потенциальных рисках :
технологических рисках – снижении производительности; потере и повреждении данных, раскрытии данных третьим лицам; отключении защиты от реальных атак;
организационных рисках – потери репутации (особенно в случае, если пострадают данные третьих лиц), нарушении бизнес-процессов, вынужденном простое организации;
правовых рисках – нарушении правовых обязательств перед заказчиками, контрагентами, преднамеренном совершении уголовно-наказуемых действий.
Но тестирование на проникновение отличается от действий хакера. Задача специалистов, выполняющих пентест – минимизация воздействия. Иногда до 30% уязвимостей при выявлении не проверяется в виду технических рисков нарушения работоспособности ИС. Полностью исключаются все возможные проверки, способные привести к отказу в обслуживании. Свои ограничения также накладывает необходимость соблюдения законодательства Российской Федерации.
Но самое главное – все действия заранее согласовываются. Выделяются ресурсы, которые подлежат проверке, определяется перечень, какие атаки можно и какие нельзя выполнять. У организации, проводящей тестирование на проникновение, возникает юридическая ответственность за все последствия тестирования.
Ответственность за свои действия – ключевое отличие специалиста по пентесту от хакера. Такой специалист – это этичный хакер (белый хакер, white hacker, white hat), цель которых –повысить защищенность анализируемых систем.
17.06.2021
Обсуждение закрыто.