Пентестер

Пентестер – человек, который проводит имитацию хакерской атаки на рабочую инфраструктуру компании-заказчика.

Цель пентеста

Пентест или тестирование на проникновение подразумевает под собой следующее: компания нанимает специального сотрудника, который сымитируют хакерскую атаку на оборудование заказчика, чтобы выявить слабые места и уязвимости.

Как правило, услуги по пентесту предоставляются специальными организациями, которые обладают соответствующими статусами и сертификатами. Сотрудники таких компаний также проходят регулярное обучение и сертификацию.

Основные задачи тестирования:

  • поиск возможных угроз информационной безопасности;
  • оценка возможных последствий в случае успешной атаки злоумышленника;
  • поиск уязвимостей в инфраструктуре заказчика;
  • проверка средств защиты информации (программные и аппаратные), используемых в компании;
  • анализ эффективности менеджмента политики ИБ в организации.

В итоге своей работы пентестер предоставляет клиенту подробный отчет со списком найденных проблемных мест. В большинстве проблем расписаны рекомендации по их устранению. После устранения заказчик может повторить тестирование заново.

Методики тестирования

Существует 6 методов тестирования:

  1. Внешнее. Имитация производится из внешней сети, имитируя деятельность злоумышленника, который не относится к сотрудникам компании. Данный метод подходит для оборудования, которое работает в основном с внешними ресурсами.
  2. Внутреннее. Пентестер производит атаку из внутренней сети компании. Метод рассчитан на выявление уязвимости, которая исходит от сотрудников организации.
  3. Белый ящик. Виртуальный взломщик имеет полные сведения об объекте атаки, которые ему сообщает компания-заказчик.
  4. Черный ящик. Пентестер не в курсе об объекте исследований. У него есть только данные, доступные в открытых источниках. Он предварительно старается собрать дополнительные сведения, а после проводит имитацию атаки.
  5. Слепое тестирование. Никто не в курсе о проводимых работах, кроме 2-3 человек внутри компании. Данный метод наиболее приближен к реальности, так как сотрудники отдела ИБ реагируют на угрозу более правдоподобно.
Спуфинг
Сниффинг