2018/03/03 11:06:19

Pentesting (пентестинг)

Данный инструмент является достаточно важным и необходимым для того, чтобы знать риски, с которыми сталкивается ваша компания. Чтобы иметь реальное представление об опасностях, которым подвергается ваша компания, существуют определенные инструменты, которые вам необходимо понимать и оценивать по достоинству. В противном случае, вы можете недооценивать бреши безопасности, которые могут поставить под угрозу вашу компанию. К счастью, есть хорошие новости: благодаря пентестинг (pentesting) или тестам на проникновение, можно точно определять такие дыры безопасности.

Содержание

Что такое пентестинг?
Как выполняется пентестинг
Какой метод выбрать?
Хронология событий
- 2023
  - 96% организаций уязвимы перед кибермошенниками
  - За год компании укрепили внешний периметр, но забыли про внутренние сети
- 2022: 77% организаций в России недостаточно защищены от взлома
Смотрите также
Примечания

Что такое пентестинг?

Пентестинг включает в себя серию тестов на проникновение, основанных на атаках ИТ-систем для выявления их слабых мест или уязвимостей. Они предназначены для классификации и определения масштабов брешей безопасности, а также их степени влияния. В результате таких тестов вы можете получить достаточно четкое представление об опасностях для вашей системы и эффективности вашей защиты^[1]^[2].

Пентесты помогают определить вероятность успеха атаки, а также выявить дыры безопасности, которые являются следствием уязвимостей с низким уровнем риска, но использующихся определенным образом. Они также позволяют выявлять другие уязвимости, которые невозможно обнаружить с помощью автоматизированного сетевого ПО или специальных программ, а также могут использоваться для оценки того, способны ли менеджеры по безопасности успешно обнаруживать атаки и эффективно реагировать на них.

Как выполняется пентестинг

Существует несколько типов пентестов, классифицированных в соответствии с типом информации о системе. В whitebox-пентестах известно все о системе, приложениях или архитектуре, а в blackbox-пентестах нет никакой информации о цели. Имейте в виду, что такой тип классификации, - это практическая необходимость, т.к. часто условия тестирования основаны на критериях пользователя.

После этого необходимо выбрать один из различных методов пентестинга. Выбор будет обусловлен характеристиками системы или даже осуществляться в соответствии с внешними требованиями в компании. В любом случае доступные методы, среди прочего, включают ISSAF, PCI, PTF, PTES, OWASP и OSSTMM. У каждого метода достаточно много своих нюансов, но их глубокое знание необходимо при реализации пентестов.

Какой метод выбрать?

По мнению ряда экспертов, достаточно хорошими типами пентестов являются PTES и OWASP, благодаря тому, как эти методы структурированы. По их словам, Penetration Testing Execution Standard (или PTES) в дополнение к тому, что он принят многими авторитетными специалистами, уже является моделью, используемой в учебных пособиях для таких систем пентестинга, как Rapid7 Metasploit.

С другой стороны, Open Source Security Testing Methodology Manual (OSSTMM) стал стандартом. Хотя эти тесты не особо новаторские, он является одним из первых подходов к универсальной структуре концепции безопасности. Сегодня он стал ориентиром не только для организаций, которые хотят разрабатывать качественный, организованный и эффективный пентестинг, но и для целого ряда компаний.TAdviser выпустил Гид по российским операционным системам 10.7 т

В качестве альтернативы, Information Systems Security Assessment Framework (ISSAF) организует данные вокруг так называемых «критериев оценки», каждый из которых был составлен и рассмотрен экспертами в каждой сфере применения решений безопасности. Payment Card Industry Data Security Standard (PCI DSS) был разработан советом ведущих компаний-эмитентов кредитных и дебетовых карт и он служит в качестве руководства для организаций, которые обрабатывают, хранят и передают данные о владельцах карт. Именно под этот стандарт был разработан PCI-пентестинг.

Количество методов и фреймворков достаточно большое, они обширны и разнообразны. Как уже было сказано, выбор между ними будет зависеть от понимания потребностей вашей компании и знания требуемых стандартов безопасности. Но делая все правильно, вы сможете защищать свои системы намного более эффективно, заранее зная, где и как они могут выйти из строя. Бесценная информация для тех, кто умеет ею пользоваться.

Хронология событий

2023

96% организаций уязвимы перед кибермошенниками

Специалисты Positive Technologies 2 июля 2024 года поделились результатами тестирований на проникновение, проведенных в 2023 году. Практически во всех компаниях, где проводилось внутреннее тестирование, злоумышленники могут установить полный контроль над ИТ-инфраструктурой. Минимальный срок проникновения в локальную сеть составил один день. Подробнее здесь.

За год компании укрепили внешний периметр, но забыли про внутренние сети

За год на фоне многочисленных кибератак российские компании укрепили защиту ИТ-периметров, но они по-прежнему недооценивают угрозу внутреннего нарушителя. Это следует из результатов пентестов, проведенных экспертами «РТК-Солар» с марта 2022 по март 2023 года. Так треть (35%) компаний выдержали испытание внешним пентестом (годом ранее этот показатель составлял только 24%). В то же время цели внутри ИТ-периметров были достигнуты в 100% случаев (год назад - только в 63%). Об этом компания сообщила 3 апреля 2023 года. Подробнее здесь.

2022: 77% организаций в России недостаточно защищены от взлома

Группа анализа защищенности компании Innostage провела тестирование на проникновение (пентест) в российских компаниях и 28 декабря 2022 года поделилась промежуточными итогами. Целью пентеста являлось получение максимально возможных привилегий или выполнение нелегитимного действия по отношению к ИТ-инфраструктуре организации. В 77% организаций специалистам удалось получить административный доступ к критичным объектам или чувствительной информации, находясь за пределами внешнего периметра. Подробнее здесь.