Тест на проникновение (пентест)

Тест на проникновение или пентест – это попытка взлома информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять Заказчику, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником. Для чего необходим пентест Пентест предназначен для получения объективной оценки защищенности информационной среды организации от внешних и внутренних угроз со стороны потенциального нарушителя безопасности. При проведении теста на проникновение, моделируются действий злоумышленника, направленные на проникновению в информационную систему Заказчика. Пентест позволяет:

• Выявить наиболее уязвимые места в системе информационной безопасности;

• Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;

• Получить объективную оценку общего уровня безопасности информационной среды организации;

• Оценить возможные последствия от таких действий.

Когда необходим пентест? Основные причины, по которым компании задумываются о проведении данного вида аудита следующие:

• Оценка существующей системы управления информационной безопасности;

• Оценка защищенности отдельных ресурсов или средств защиты организации;

• Анализ возможного ущерба от действий злоумышленников;

• Оценка действий персонала организации.

Объекты теста на проникновение Основными объектами аудита являются внешние web-ресурсы и локальная сеть Заказчика. При проведении теста помимо технических методик также используются методы социальной инженерии, позволяющие оценить уровень подготовки сотрудников в вопросах информационной безопасности. Может быть предпринята рассылка электронных писем, вынуждающих пользователей выполнить определенные действия, либо попытка узнать нужную информацию от сотрудников организации при помощи телефонного звонка в ИТ-службу. Все условия и действия заранее обговариваются и утверждаются с Заказчиком. Пентест: методы, сроки. Однозначно определить сроки проведения аудита достаточно сложно, они варьируются в зависимости от масштаба работы и уровня защищенности объектов тестирования. Минимальный срок теста на проникновение занимает от 2х недель. На первом этапе аудита используются автоматизированные средства, позволяющие определить известные и существующие уязвимости, если такие не находятся, то специалисты разрабатывают специализированные решения для теста на проникновение, при этом учитывается специфика атакуемого объекта и человеческий фактор. Соглашение о неразглашении (NDA) Перед проведением теста на проникновение, компания-Исполнитель и компания-Заказчик подписывают соглашение о неразглашении (NDA), данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение. Тест на проникновение: основные этапы Основные этапы теста на проникновение:

• Анализ общедоступной информации о компании, и ее информационной среде;

• Проведение исследований связанных с социальной инженерией;

• Анализ уязвимостей внутренних и внешних ресурсов;

• Осуществление проникновения;

• Создание отчетной документации.

Тест на проникновение: результаты По завершению работ формируется отчет, в котором представляется следующая информация:

• Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться;

• Описание сценариев, при помощи которых проводилось проникновение;

• Подробное описание структуры объектов тестирования;

• Методы и средства, использованные во время проведения теста на проникновение;

• Рекомендации по устранению обнаруженных уязвимостей и недостатков.