Безопасность

Пентест: кому и зачем он необходим

Рассказываем, что такое тестирование на проникновение, каким компаниям оно жизненно необходимо и что грозит тем, кто регулярно не проводит пентест

8 мин
05/05/2020

В поисках уязвимостей хакеры постоянно меняют свои инструменты и тактику. Чтобы понять, работают или нет ваши меры в области цифровой безопасности, их нужно проверить на прочность. Проще говоря — попытаться взломать, почти по-настоящему. Только в случае тестирования инфраструктуры на проникновение, или пентеста (англ. pentest — penetration test), взлом находится полностью под вашим контролем, и успешная попытка ничем не угрожает.

Главная цель пентеста — найти в инфраструктуре и приложениях клиента уязвимости, которые потенциально могут быть использованы злоумышленниками. Кроме того, тестирование на проникновение помогает понять, насколько эффективны разработанные политики в области IT-безопасности и стоит ли их совершенствовать. Иногда пентесты проводятся, чтобы проверить готовность специалистов ИБ к отражению атак.

Кому нужен пентест

Для банков и финансовых организаций тестирование на проникновение — обязательная процедура. Например, согласно Положению Банка России от 17 апреля 2019 г. N 683-П (п. 3.2), банки должны организовать проведение пентеста для проверки своих интернет-ресурсов на уязвимости. Подобных нормативных требований много, и за их неисполнение предусмотрены санкции. Если компания не проведет тестирование, регулятор может ее оштрафовать. 

Но дело не только в штрафах. Многие коммерческие и государственные организации регулярно проводят подобную проверку, чтобы быть уверенными в надежной защите своих систем. Тестирование на проникновение — это инвестиция в безопасность, так как незакрытые вовремя бреши могут привести к многомиллионным потерям в случае успешной атаки.

Также информация об утечках часто попадает в прессу и подрывает доверие клиентов и партнеров. Но утечки не только портят имидж, за них тоже предусмотрены штрафы. В отношении данных граждан европейских стран действует регламент GDPR (General Data Protection Regulation), компании за подобные утечки штрафуют. При этом размер штрафа рассчитывается по доходу материнской компании. В России к этому относятся пока лояльнее, но, скорее всего, штрафы тоже вырастут, и лучше до них дело не доводить. 

Подробнее о регулировании персональных данных, в том числе GDPR, вы можете прочитать в нашем отдельном материале.

Кто проводит тестирование

Тестирование на проникновение — технически сложная процедура. Одно неосторожное действие может привести к необратимым последствиям — падению ресурса или удалению критичной информации. Именно поэтому пентест должны проводить опытные специалисты, которые знают, как «взломать» систему и при этом ничего не повредить. Иногда их еще называют «белыми хакерами». 

Стороны договариваются на берегу, что необходимо проверить. Например, компании необходимо выяснить, можно ли повысить привилегии пользователя в системе при наличии украденных учетных данных. После завершения тестирования заказчик получает подробный отчет с рекомендациями по устранению и профилактике уязвимостей — например, компания может установить более строгую парольную политику. 

Разновидности тестирования

Две главных разновидности тестирования на проникновение — внутреннее и внешнее. В случае внутреннего тестирования исполнитель действует внутри инфраструктуры клиента со своим ноутбуком и, например, пытается повысить привилегии пользователя. 

В случае внешнего тестирования атака производится извне. При этом специалисты различают три основных метода — «черный ящик», «серый ящик» и «белый ящик».

  • Метод «черного ящика» — исполнитель ничего не знает о системе и пытается произвести взлом, полагаясь на свои инструменты и открытую информацию. Таким образом имитируются действия обычных злоумышленников. В этом случае компания проверяет, насколько готовы ее системы к отражению типовых атак.
  • Метод «серого ящика» — исполнителю известны данные об инфраструктуре. Это имитация целевых атак и атак с участием инсайдеров — людей, работающих в компании и передающих сведения злоумышленников. Таким способом можно, например, понять, работает ли система предотвращения утечки данных по вине сотрудников.
  • Метод «белого ящика» — специалист по тестированию владеет всей информацией и даже исходным кодом. Таким методом проверяется, устойчива ли система к взлому сотрудниками уровня администратора или разработчика.

Существуют также международные стандарты подобных тестирований — например, OWASP Testing Guide

Что получает заказчик 

Поскольку тестирование проводят опытные специалисты, они понимают, что необходимо «подкрутить», чтобы устранить лазейку для злоумышленников. В итоговом отчете заказчик видит список уязвимостей и все шаги, которые привели к обнаружению и эксплуатации этой уязвимости. Иногда, если это оговорено сторонами, заказчик может получить и более конкретные рекомендации, вплоть до определенных защитных решений или моделей оборудования с нужными настройками. 

Пентест на аутсорсе

Тестирование на проникновение, как правило, отдается на аутсорс, потому что самая лучшая проверка — независимая. Кроме того, специалистов по пентестам на рынке не так много, это очень дефицитная специализация из-за крайне высокого уровня необходимой квалификации. Крупные компании стараются доверять проведение столь чувствительных процедур организациям с именем, чтобы быть уверенными в сохранности полученных результатов. 

МегаФону пентесты доверяют многие лидеры рынка. Недавно в МегаФон обратился крупный банк, входящий в топ-20 в России. По итогам анализа, проведенного согласно международным стандартам, было выявлено восемь уязвимостей, в том числе небезопасное хранение и передача пользовательских данных. Банк получил пошаговые рекомендации, устранил уязвимости и усилил защиту.

Что такое пентест и как он поможет компании сохранить деньги и репутацию, подробно расскажут эксперты МегаФона на онлайн-митапе 20 мая.

Update — медиа, в котором МегаФон рассказывает, как технологии меняют бизнес. Это наш пилотный проект, поэтому нам важно знать ваше мнение. И не забудьте подписаться на нашу рассылку! 🙂
© 2019 ПАО «МегаФон»
Сделано в
Red Collar