Что такое пентест

Пентест (penetration test) — тестирование на проникновение и безопасность, иначе анализ системы на наличие уязвимостей.

В рамках пентеста моделируется комплекс мер, который имитирует реальную атаку злоумышленника.

Данные действия нацелены на определение возможных путей проникновения в сеть организации и нарушения свойств (конфиденциальности, целостности, доступности) обрабатываемой информации.

В результате формируются рекомендации по повышению уровня информационной безопасности компании путем снижения рисков реализации выявленных угроз.

Для чего нужен пентест

С развитием цифровых технологий ежегодно появляется все большее число энтузиастов, желающих проверить собственные силы во время атаки на информационные ресурсы компаний, а также профессиональных хакеров, размещающих в даркнете предложения об оказании незаконных услуг по проведению таких кибератак.

Удаленный режим работы добавил задач по организации безопасных и в то же время эффективных условий работы как компаниям в целом, так и каждому отдельному сотруднику. Сетевые протоколы для удаленной обработки информации и сведения от недобросовестных сотрудников компаний являются весьма заманчивыми для проведения хакерских атак.

Компании, проводящие пентест, получают следующие преимущества:

1. Защищенность
   • Пентест позволяет на практике оценить степень защищенности ИТ-инфраструктуры, а значит и конфиденциальной информации организации, от которой зависит не только репутация на рынке, но и перспективы развития.
2. Эффективность
   • Наш опыт показывает, что безупречной защиты не бывает. Но она может быть эффективной и затруднять проникновение внешнего злоумышленника или препятствовать действиям инсайдеров.
3. Безопасность
   • Мы помогаем нашим заказчикам оценить эффективность выстроенной системы защиты, в том числе корректность выполненных настроек безопасности и уровень осведомленности персонала.

Как проводится пентест

На предварительном этапе оказания услуги мы помогаем заказчикам правильно сформулировать реальную потребность, чтобы итоговый отчёт совпал с ожиданиями и оказался максимально полезным.

После этого мы согласовываем входные сведения, способы и границы тестирования. Затем мы фиксируем все нюансы работы и требования для каждой из частей отчета, а также согласовываем классификатор уязвимостей. Это обеспечивает однозначную трактовку результатов относительно тех или иных уязвимостей и ущерба, который они могут нанести в случае успешной атаки.

На завершающем этапе работ мы оцениваем объем работ и подписываем документы об оказании услуг.

После этого мы выбираем правильный сценарий тестирования, фиксируем все действия (логи, скриншоты, результаты работы различных команд) и даем каждому шагу подробное техническое описание.

Основные этапы пентестинга:

1. Сбор информации об инфраструктуре заказчика
   • Выполняем сканирование по открытым/закрытым источникам.
2. Моделирование угроз
   • Ищем потенциальные точки входа.
3. Анализ уязвимостей
   • Определяем способы использования точек входа.
4. Эксплуатация уязвимостей
   • Реализуем проникновение на практике.
5. Пост-эксплуатация уязвимостей
   • Определяем возможные векторы развития атаки.
6. Разработка отчета по требованиям заказчика
   • Предоставляем описание пошаговых действий и результатов их осуществления, а также предложения по оптимизации системы защиты.

Особенности тестирования на проникновение

Проведение тестов на проникновение может включать в себя:

• Внешнее и внутреннее тестирование на проникновение
• Анализ защищенности web-приложений
• Анализ защищенности беспроводных сетей
• Использование методов социотехнической инженерии
• Кастомный сценарий тестирования исходя из локальных потребностей заказчика

Возможны 2 уровня доступа

1. Чёрный ящик

   Информация об инфраструктуре и какой-либо доступ отсутствуют

2. Белый ящик

   Полная информация об инфраструктуре и валидные учётные записи

В процессе выполнения тестирования защищенности ИТ-инфраструктуры компании помимо универсальных сканеров уязвимостей, позволяющих обнаруживать уязвимости приложений, ОС и сетевой инфраструктуры, мы также используем специализированное ПО и самописные утилиты и словари.

На практике нередко встречаются ситуации, когда в начале тестирования на проникновение пентестер выявляет следы ранее проведенного взлома. В этих случаях заказчик обычно привлекает наших специалистов к проведению расследования.

Какие методики тестирования мы используем

Используя лучшие практики и стараясь думать, как злоумышленник, мы всегда опираемся на свои собственные наработки с учетом реалий российского рынка и отечественного законодательства.

В своей работе мы ориентируемся на лучшие международные стандарты и фреймворки:

1. Open Source Security Testing Methodology Manual
2. The Penetration Testing Execution Standard
3. Information System Security Assessment Framework

Результаты пентеста

Мы всегда с особым вниманием подходим к оформлению результатов нашей работы и стремимся сделать их максимально полезными не только для технических специалистов наших заказчиков, но и для руководителей.

Поэтому мы включаем в общий отчет о проделанной работе несколько основных разделов, предназначенных для различных специалистов.

1. Отчет для топ-менеджмента заказчика

   Мы предоставляем общее описание проделанной работы без использования специализированной терминологии, но с оценкой критичности выявленных уязвимостей для бизнеса и необходимых действий по совершенствованию системы защиты.

2. Технический отчёт

   Содержит наиболее детальную информацию. В нем приводится вся необходимая информация о найденных уязвимостях, а также о том, как их можно воспроизвести по шагам и какой информацией можно завладеть в результате. Для устранения каждой уязвимости даются исчерпывающие рекомендации. Технический отчет всегда содержит расшифровку аббревиатур и определения для используемых специальных терминов.

3. Экспертные рекомендации

   Выявленные слабые места системы безопасности могут быть усилены на основе экспертных рекомендаций, в том числе путем повышения уровня компетенций сотрудников организации. Однако даже если критичных уязвимостей в защите найдено не было, то процесс анализа защищенности и совершенствования системы защиты должен быть непрерывным. Ведь результат пентеста всегда отражает способности команды конкретных специалистов лишь в предварительно согласованных условиях имитации действий злоумышленников.