Кому и зачем нужен пентест?
Пентест — это обязательный этап цикла обеспечения кибербезопасности на предприятии. В ходе него специалисты проверяют систему на уязвимости, в прямом смысле, пытаясь ее взломать. То есть отрабатываются различные сценарии, по которым злоумышленник может попасть в систему и совершить противоправные действия. Иногда пентестеров называют “белые” или “этичные” хакеры.
Для чего нужно такое тестирование?
В любом программном обеспечении есть ошибки — от крошечных до значительных. Любая ошибка кода — это потенциальная уязвимость и риск потерять деньги, данные клиентов, интеллектуальную собственность, репутацию. Обстоятельства последних месяцев показали, что кибербезопасность — не слово из боевика, а пришедшая в нашу реальность необходимость — даже, если в организации сеть из трех-четырех компьютеров.
Каждой компании важно:
а) выполнять требования регуляторов(ФСТЭК и ФСБ) , особенно, если она относится к объекту КИИ,
б)не дать хакерам присвоить себе чужое имущество как в материальном выражении — деньги, так и в нематериальном — идеи, коммерческую тайну, данные клиентов; в)сохранить репутацию. Кто понесет деньги в банк, если на него постоянно проводят успешные хакерские атаки?
То есть другими словами, нужно самостоятельно обнаружить уязвимости, попытаться взломать через них систему, чтобы потом устранить эту уязвимость. Пентестер — это тот, кто имитирует действия реального злоумышленника, тестирует организацию на возможность проникновения, получает доступ к информации.
Итак, пентест нужен, чтобы:
- узнать о слабых местах вашей IT системы,
- выполнить требования ФСТЭК и ФСБ,
- защитить персональные данные и коммерческую информацию.
Методики тестирования
Внешнее тестирование. Имитация атаки со стороны — то есть человека, у которого нет никаких сведений о компании. Он определяет, можно ли получить доступ к системе дистанционно, и если можно, то насколько глубоко можно проникнуть. Такое тестирование проводится для серверов и другого оборудования, которое сообщается с внешним миром.
Внутреннее тестирование. Имитация атаки от человека, у которого есть стандартные права как у сотрудника компании. Исследуются возможности навредить системе изнутри.
Белый ящик или White Box. Согласно этой методике, пентестер действует, вооружившись знаниями о системе, как если бы злоумышленник получил о компании какую-то информацию
Двойное слепое тестирование или Black Box. Пентест, который проводится в тайне от большинства сотрудников в компании. Такая методика позволяет понять, сможет ли атакующий справиться со службой безопасности.
Что должен знать и уметь пентестер
Пентестер — специалист во многих областях.
Компьютерные сети. Знать и понимать устройство сетевых моделей OSI, что это такое, как работают сети и где в них могут скрываться уязвимости. С опытом приходит понимание протоколов и типичных ошибок в настройках.
Операционные системы. Глубокий уровень знаний принципов работы серверных и пользовательских ОС. Потребуется изучить архитектуру и инфраструктуру, особенности процессов.
Криптография. Наука о шифровании информации — без нее никуда, потому что специалист по ИБ должен знать, как устроена защита сведений.
Атаки на информационные системы. Перечень методов, с помощью которых действуют реальные злоумышленники. Они постоянно обновляются, поэтому пентестер должен идти в ногу со временем.
Анализ вредоносного ПО. Пентестеры и специалисты по информационной безопасности должны знать о вирусах, троянах, червях, эксплойтах. Специалисту важно уметь написать вредоносное ПО под задачу и применить его.
Командная строка Linux. В основном пентестеры работают на специальных дистрибутивах Linux, поэтому должны хорошо владеть командной строкой ОС. Это бывает нужно и при имитации взлома.
Как работает пентестер
В фильмах показывают, как хакер садится за компьютер, набирает пару строчек кода и бац — взламывает банк.
На самом деле работа — это непрерывный поиск информации. Систему нужно изучить досконально и разработать максимальное число вариантов ее атаки.
Это своеобразное исследование, проба на прочность новых технологий, применение продуктов, которые появляются чуть ли не ежемесячно. Однако много в этом и рутины: нужно внимательно просмотреть более 30 тысяч строк кода, изучить и проанализировать документы о продукте. Такая работа требует высокой концентрации, чтобы ничего не пропустить в обфусцированном(то есть усложненном) коде.
Пентест в “Максофте”: работа под ключ.
Пентест — это только часть работы по обеспечению кибербезопасности. Основные мероприятия — модернизация ИБ — происходит после аудита системы и пентеста, поэтому компания не заинтересована в затягивании сроков. По итогам пентеста заказчик получает отчет:
- описание процесса тестирования,
- описание критических уязвимостей вашей системы,
- перечень решений и рекомендаций, которые могут закрыть эти уязвимости,
- прогноз стоимости модернизации системы ИБ.
“Максофт” может не просто проанализировать систему, но и внедрить защитные меры, а потом сопровождать их работу. То есть обеспечение безопасности на предприятиях происходит в режиме одного окна.
Вендоры предоставляют интегратору самые актуальные сведения о своих решениях в сфере ИБ. Как только обнаруживается новая проблема, производитель готовит решение или усиливает уже имеющееся, о чем тут же сообщают интеграторам. “Максофт” аккумулирует всю информацию и применяет ее сразу — в полевых условиях.
А теперь вышеизложенное, но кратко:
Пентест нужен для проверки системы на уязвимости, а если смотреть шире, то чтобы сохранить свои данные, репутацию и деньги. Это сложная и кропотливая работа.
Лучше заплатить за пентест, чем потом вести переговоры с преступниками и пытаться снизить сумму выкупа или считать убытки из-за кражи данных.