Цифры говорят
Об особенностях проведения пентеста
01.01.2010 |
Некоторые практики с IТ появились как адаптация подходов, которые возникли еще в индустриальную эпоху. К примеру, изготовители сейфов часто нанимали «медвежатников» для того, чтобы они нашли слабые стороны своих замков.
В настоящее время фирмы активно рассматривают помощь хакеров, позволяющие определить уязвимости в корпоративной сети. Возникло целое направление, которое называется этическим хакингом и предусматривает тестирование на проникновение специалистов со стороны. «Белые хакеры» проводят ряд манипуляций на проникновение в сеть компании, имитируя многочисленные действия злоумышленников и атаки. Следствием становится отчет с детальной информацией о выявленных проблемах с защитой и дальнейшими советами по их устранению. Следует отметить, что сегодня проведение пентестов от ТрастСпейс практикуют многие компании.
Алгоритм выполнения пентеста
Проводится сторонними представителями для того, чтобы исключить сговор своих работников, а также "игры в поддавки". Тестирование на проникновение является имитацией реальной хакерской атаки и предполагает выполнение следующих шагов:
- сбор данных о целях;
- использование инжиниринга социального характера;
- выявление мест входа в сеть;
- обнаружение и применения уязвимых точек;
- увеличение привилегий в атакуемом механизме;
- формирование советов и отчетности.
Тестирование чаще всего начинается с внешней сети, после чего оцениваются внутренние сервисы.
Пентесты, с одной стороны, предусматривают ряд типовых операций, которые для ускорения можно автоматизировать. С другой - у каждого клиента есть особенности, которые важно принимать во внимание, проводя проверки вручную.
Если говорить об автоматизированной методике, она оптимальна для поиска обычных проблем, например, открытых портов, вредных и опасных программ, некорректных настроек доступа и так далее.
Часто представители компании отказываются от комплексного пентеста в пользу самостоятельного использования сканеров уязвимостей. И здесь нужно отдавать себе отчет в том, что настройка требует квалификации, а итоге в обязательном порядке должны проходить верификацию профессионалами. Без нее они будут ложными. Именно поэтому следующий этап предусматривает ручное тестирование, которое ориентируется на опыт и дает возможность найти действительно реальные проблемы. После проведения комплексной оценки составляется отчет.
Интересные ссылки
- Varonis Systems и NGS Distribution заключили дистрибуторское соглашение
- НПК «Криптонит» принял участие в XXII международной конференции «РусКрипто’2020»
- SOC Tech 2023: Первая конференция о технологиях мониторинга инцидентов ИБ в формате киберзаставы
- «Лаборатория Касперского» проводит ежегодную программу поддержки молодых ученых
- Как обеспечить безопасность аэропорта и комфорт пассажиров. Итоги онлайн-конференции «Аэропорт будущего»
