Пентестер
Пентестер – человек, который проводит имитацию хакерской атаки на рабочую инфраструктуру компании-заказчика.
Цель пентеста
Пентест или тестирование на проникновение подразумевает под собой следующее: компания нанимает специального сотрудника, который сымитируют хакерскую атаку на оборудование заказчика, чтобы выявить слабые места и уязвимости.
Как правило, услуги по пентесту предоставляются специальными организациями, которые обладают соответствующими статусами и сертификатами. Сотрудники таких компаний также проходят регулярное обучение и сертификацию.
Основные задачи тестирования:
- поиск возможных угроз информационной безопасности;
- оценка возможных последствий в случае успешной атаки злоумышленника;
- поиск уязвимостей в инфраструктуре заказчика;
- проверка средств защиты информации (программные и аппаратные), используемых в компании;
- анализ эффективности менеджмента политики ИБ в организации.
В итоге своей работы пентестер предоставляет клиенту подробный отчет со списком найденных проблемных мест. В большинстве проблем расписаны рекомендации по их устранению. После устранения заказчик может повторить тестирование заново.
Методики тестирования
Существует 6 методов тестирования:
- Внешнее. Имитация производится из внешней сети, имитируя деятельность злоумышленника, который не относится к сотрудникам компании. Данный метод подходит для оборудования, которое работает в основном с внешними ресурсами.
- Внутреннее. Пентестер производит атаку из внутренней сети компании. Метод рассчитан на выявление уязвимости, которая исходит от сотрудников организации.
- Белый ящик. Виртуальный взломщик имеет полные сведения об объекте атаки, которые ему сообщает компания-заказчик.
- Черный ящик. Пентестер не в курсе об объекте исследований. У него есть только данные, доступные в открытых источниках. Он предварительно старается собрать дополнительные сведения, а после проводит имитацию атаки.
- Слепое тестирование. Никто не в курсе о проводимых работах, кроме 2-3 человек внутри компании. Данный метод наиболее приближен к реальности, так как сотрудники отдела ИБ реагируют на угрозу более правдоподобно.