Пентест. Что это такое и как он проводится?

Что такое пентест?

Пентест (Penetration test) — санкционированный процесс взлома системы, имитирующий действия злоумышленника с целью выявления уязвимостей.

Простыми словами, пентест — это когда вы просите белого хакера провести симуляцию реальной атаки и разнести в щепки кибербезопасность вашей системы. Зачем это вам? Так вы сможете обнаружить все проблемные зоны вашей системы безопасности, а после устранить их до настоящей попытки взлома.

Какие общие цели пентеста?

Главная задача пентеста — выявить уязвимости системы, но комплексный подход к кибербезопасности предполагает также оценку рисков и проверку эффективности всей защиты. Однако не путайте цели пентеста с целями аудита безопасности, ведь последний скорее проверяет соответствие законам и только лишь предполагает потенциальные угрозы. 

Какие бывают виды пентеста?

Обычно пентестеры проверяют на прочность две стороны информационной инфраструктуры:
Внешнюю — сайты, интернет-магазины, мобильные приложения и прочие информационные ресурсы.

Внутреннюю — серверы, базы данных, системы видеонаблюдения.

Как проводится пентест на внешних сервисах?

Внешние сервисы проверяются сканерами уязвимостей, которые используют базы данных известных уязвимостей, например, базы ФСТЭК или CVE. При тесте сканер выявляет слабые места и оценивает возможность доступа к базам данных или правам админа. 

Как проводится пентест на внутренних сервисах?

Внутренний пентест проводится по согласованию через закрытые тоннели с ограничением времени и разными ролями доступа. Особенность внутреннего пентеста — возможные сбои систем. Например, системы видеонаблюдения могут упасть во время сканирования, а принтеры начать печатать черные листы.

Существует также тестирование методами социальной инженерии. Вкратце — это проверка того, насколько подготовлены ваши сотрудники к мошенникам и их типовым методикам обмана. О социальной инженерии мы рассказали в отдельной статье здесь.

Как проводится пентест? Объясняем по пунктам:

1. Сбор информации (Reconnaissance) — состоит из двух фаз: пассивной и активной. При пассивной проверяются общедоступные данные о цели, например, через поисковую строку можно найти утечки данных. При активной же начинаются попытки взлома и используются инструменты наподобие SQL-инъекций или межсайтового скриптинга.  

2. Сканирование (Scanning) — тут происходит ранжирование уязвимостей и выбор самой незащищенной зоны с помощью специального сканера. Список самых популярный при приведем ниже в статье.

3. Получение доступа (Gaining Access) — получение контроля или, проще говоря, админки, чтобы доказать обнаружение уязвимости в защите данных.

4. Поддержание доступа (Maintaining Access) — это повторное получение админки через ту же уязвимость или точки опоры для дальнейшего пребывания во взломанной системе.

5. Заметание следов (Covering Tracks) — удаление всего, что могло бы выдать попытку взлома или каких-либо манипуляций с безопасностью.

6. Составление отчета (Reporting) — создание итогового списка обнаруженных уязвимостей, а также подробное описание примененных способов для взлома.

Какие инструменты используются для проведения пентеста?
Сегодня пентестеры используют такие сканеры, как Kali Linux, Metasploit, Burp Suite и Wireshark. Для пассивного сбора информации применяют инструменты типа Nexus, RedCheck, Xpider, ВС и MaxPatrol 8.

Важный вопрос: какая практическая польза для бизнеса от пентеста?

Согласитесь, что проще купить в машину хорошую сигнализацию и сразу узнать о попытке кражи, чем пожалеть денег и потерять машину навсегда. Точно также и со взломом информационной инфраструктуры, после которого придется долго восстанавливать репутацию и чинить половину системы.

Да и потратиться на безопасность — значит сэкономить. Наперва пугавший ценник проведения пентеста покажется крохотным после утечки пользовательских данных и штрафов до 20 миллионов рублей.

На сколько оштрафуют за несоблюдение закона?

Согласно федеральному закону №152 «О персональных данных» за бездействие в обеспечении безопасности биометрических пользовательских данных юр. лицу грозит штраф до 20 миллионов рублей. Средний же ценник проведения пентеста плавающий, варьируется от 100 тысяч до 1 миллиона в зависимости от конкретных условий. 

Важно знать, что большие компании не жалеют на пентесты и 12 миллионов рублей, ведь понимают, что в случае взлома всегда потеряют больше.

Зачем в итоге нужен пентест?

Снизит риск кибератак — хакерам труднее обходить сложную и постоянно обновляемую защиту. Им выгоднее тратить своё время на взлом менее защищённых бизнесов. 

Соответствие нормативным требованиям — комплексное проведение пентеста включает также подгонку кибербезопасности под ФЗ №152, а также прочих стандартов, например, PCI DSS.

Экономия — думаем, вы уже поняли, что защита почти всегда в 10 раз дешевле, чем последствия.

Сделаем простой вывод о пентесте

Лучше взломайте себя сами, пока этого не сделал кто-то другой в корыстных целях. Пентест — проверенный и необходимый инструмент для оценки и повышения безопасности информационных систем.

И самое главное! Помните, что пентест — не разовая акция, а регулярная часть стратегии безопасности. Большинство компаний, которые подверглись попытке взлома, оказываются под новым ударом в течение того же месяца.

Зачастую злоумышленники пытаются взломать ваш сайт в 10 раз чаще, чем вы проверяете его защищённость. Поэтому тестировать безопасность нужно регулярно.