Тестирование на проникновение (pentest)
Формально, тестирование на проникновение – один из элементов аудита защищенности информационной системы. В реальности, именно пентест позволяет оценить реальную защищенность IT-инфраструктуры от реальных атак потенциальных злоумышленников (и оценить зрелость IT-бизнес-процессов). Т.е. по факту – это возможность проверить, способна ли система защиты выявить и предотвратить попытку взлома информационной системы.
- Тест на проникновение внешнего веб-приложения, тестирование сети и конфигурации хоста.
- Тест на проникновение внешнего веб-приложения, одно приложение или API.
Доказательства, сделанные вручную: копия файла ручных заметок
Автоматические доказательства: копия отчета об автоматическом сканировании
- Тест на проникновение в конфигурацию внешней сети и хоста, до 32 IP-адресов.
Доказательства, сделанные вручную: копия файла ручных заметок.
Автоматические доказательства: копия отчета об автоматическом сканировании
Тестирование на проникновение отличается от действий хакера. Задача специалистов, выполняющих пентест – минимизация воздействия. Иногда до 30% уязвимостей при выявлении не проверяется в виду технических рисков нарушения работоспособности ИС. Полностью исключаются все возможные проверки, способные привести к отказу в обслуживании. Свои ограничения также накладывает необходимость соблюдения законодательства Российской Федерации.
Самое главное – все действия заранее согласовываются. Выделяются ресурсы, которые подлежат проверке, определяется перечень, какие атаки можно и какие нельзя выполнять. У организации, проводящей тестирование на проникновение, возникает юридическая ответственность за все последствия тестирования.
Ответственность за свои действия – ключевое отличие специалиста по пентесту от хакера. Такой специалист – это этичный хакер (белый хакер, white hacker, white hat), цель которых –повысить защищенность анализируемых систем.
ОСТАЛИСЬ ВОПРОСЫ?