Пентест — это обязательный этап цикла обеспечения кибербезопасности на предприятии. В ходе него специалисты проверяют систему на уязвимости, в прямом смысле, пытаясь ее взломать. То есть отрабатываются различные сценарии, по которым злоумышленник может попасть в систему и совершить противоправные действия. Иногда пентестеров называют “белые” или “этичные” хакеры.
Для чего нужно такое тестирование?
В любом программном обеспечении есть ошибки — от крошечных до значительных. Любая ошибка кода — это потенциальная уязвимость и риск потерять деньги, данные клиентов, интеллектуальную собственность, репутацию. Обстоятельства последних месяцев показали, что кибербезопасность — не слово из боевика, а пришедшая в нашу реальность необходимость — даже, если в организации сеть из трех-четырех компьютеров.
Каждой компании важно:
а) выполнять требования регуляторов(ФСТЭК и ФСБ) , особенно, если она относится к объекту КИИ,
б)не дать хакерам присвоить себе чужое имущество как в материальном выражении — деньги, так и в нематериальном — идеи, коммерческую тайну, данные клиентов; в)сохранить репутацию. Кто понесет деньги в банк, если на него постоянно проводят успешные хакерские атаки?
Чтобы защититься от хакеров, нужно думать как хакер.
То есть другими словами, нужно самостоятельно обнаружить уязвимости, попытаться взломать через них систему, чтобы потом устранить эту уязвимость. Пентестер — это тот, кто имитирует действия реального злоумышленника, тестирует организацию на возможность проникновения, получает доступ к информации.
Итак, пентест нужен, чтобы:
- узнать о слабых местах вашей IT системы,
- выполнить требования ФСТЭК и ФСБ,
- защитить персональные данные и коммерческую информацию.
Методики тестирования
Внешнее тестирование. Имитация атаки со стороны — то есть человека, у которого нет никаких сведений о компании. Он определяет, можно ли получить доступ к системе дистанционно, и если можно, то насколько глубоко можно проникнуть. Такое тестирование проводится для серверов и другого оборудования, которое сообщается с внешним миром.
Внутреннее тестирование. Имитация атаки от человека, у которого есть стандартные права как у сотрудника компании. Исследуются возможности навредить системе изнутри.
Белый ящик или White Box. Согласно этой методике, пентестер действует, вооружившись знаниями о системе, как если бы злоумышленник получил о компании какую-то информацию
Двойное слепое тестирование или Black Box. Пентест, который проводится в тайне от большинства сотрудников в компании. Такая методика позволяет понять, сможет ли атакующий справиться со службой безопасности.
Что должен знать и уметь пентестер
Пентестер — специалист во многих областях.
Компьютерные сети. Знать и понимать устройство сетевых моделей OSI, что это такое, как работают сети и где в них могут скрываться уязвимости. С опытом приходит понимание протоколов и типичных ошибок в настройках.
Операционные системы. Глубокий уровень знаний принципов работы серверных и пользовательских ОС. Потребуется изучить архитектуру и инфраструктуру, особенности процессов.
Криптография. Наука о шифровании информации — без нее никуда, потому что специалист по ИБ должен знать, как устроена защита сведений.
Атаки на информационные системы. Перечень методов, с помощью которых действуют реальные злоумышленники. Они постоянно обновляются, поэтому пентестер должен идти в ногу со временем.
Анализ вредоносного ПО. Пентестеры и специалисты по информационной безопасности должны знать о вирусах, троянах, червях, эксплойтах. Специалисту важно уметь написать вредоносное ПО под задачу и применить его.
Командная строка Linux. В основном пентестеры работают на специальных дистрибутивах Linux, поэтому должны хорошо владеть командной строкой ОС. Это бывает нужно и при имитации взлома.
Как работает пентестер
В фильмах показывают, как хакер садится за компьютер, набирает пару строчек кода и бац — взламывает банк.
На самом деле работа — это непрерывный поиск информации. Систему нужно изучить досконально и разработать максимальное число вариантов ее атаки.
Это своеобразное исследование, проба на прочность новых технологий, применение продуктов, которые появляются чуть ли не ежемесячно. Однако много в этом и рутины: нужно внимательно просмотреть более 30 тысяч строк кода, изучить и проанализировать документы о продукте. Такая работа требует высокой концентрации, чтобы ничего не пропустить в обфусцированном(то есть усложненном) коде.
Пентест в “Максофте”: работа под ключ.
Пентест — это только часть работы по обеспечению кибербезопасности. Основные мероприятия — модернизация ИБ — происходит после аудита системы и пентеста, поэтому компания не заинтересована в затягивании сроков. По итогам пентеста заказчик получает отчет:
- описание процесса тестирования,
- описание критических уязвимостей вашей системы,
- перечень решений и рекомендаций, которые могут закрыть эти уязвимости,
- прогноз стоимости модернизации системы ИБ.
“Максофт” может не просто проанализировать систему, но и внедрить защитные меры, а потом сопровождать их работу. То есть обеспечение безопасности на предприятиях происходит в режиме одного окна.
Вендоры предоставляют интегратору самые актуальные сведения о своих решениях в сфере ИБ. Как только обнаруживается новая проблема, производитель готовит решение или усиливает уже имеющееся, о чем тут же сообщают интеграторам. “Максофт” аккумулирует всю информацию и применяет ее сразу — в полевых условиях.
А теперь вышеизложенное, но кратко:
Пентест нужен для проверки системы на уязвимости, а если смотреть шире, то чтобы сохранить свои данные, репутацию и деньги. Это сложная и кропотливая работа.
Лучше заплатить за пентест, чем потом вести переговоры с преступниками и пытаться снизить сумму выкупа или считать убытки из-за кражи данных.