Любая IT-система должна быть не только удобной для пользователей, но и безопасной. Особенно, если в ее недрах хранится конфиденциальная информация.
Особенно злоумышленников привлекают корпоративные IT-системы, в которых можно найти инсайдерскую бизнес-информацию. Также хакеры не гнушаются вымогательством, заражением вирусами и троянами, а также другими деструктивными действиями, в том числе DDoS-атаками, парализующими работу сайтов.
Восстановление IT-инфаструктуры после успешной атаки злоумышленников может обойтись очень дорого, равно как и ущерб от похищенной или поврежденной информации. Поэтому необходимо уделять особое внимание безопасности и защищенности используемых IT-систем, включая сайты, локальные сети и т.п.
Что такое пентестинг
Пентест или пентестинг — это метод оценки безопасности компьютерных систем, сетей и сайтов, при котором моделируются атаки злоумышленников. Жаргонное название произошло от английских слов penetrаtion test (тест на вторжение/проникновение). По итогу заказчик получает отчет с найденными уязвимостями и рекомендациями по их устранению.
«Технически услуга представляет собой анализ внешних и внутренних угроз и уязвимостей с помощью автоматизированных инструментов для проверки возможности проникновения, а также ручных методов взлома, которые применяют злоумышленники», — объясняют эксперты ITGLOBAL.COM Security.
Как происходит пентестинг
Поиск уязвимостей обычно происходит при помощи трех распространенных типов инструментов. В компании ITGLOBAL.COM эксперты сначала пытаются найти «дыры» при помощи универсальных сканеров уязвимостей (например, Nessus и Burp Suite), затем прибегают к специализированному ПО и, наконец, используют ручное тестирование.
В ходе внешнего анализа защищенности все атаки специалисты проводят удаленно, пытаясь взломать публичные ресурсы заказчика. Затем проводится внутренний анализ защищенности. В этом случае эксперты получают доступ к внутренней IT-инфраструктуре, моделируя атаки с правами рядового сотрудника.
После этого готовится отчет, где подробно расписана методика тестирования, выявленные уязвимости, их уровни опасности. Также даются рекомендации по их устранению, которые будут понятны как штатным специалистам по кибербезопасности, так и руководителям бизнеса.
Стоит напомнить, что пентестинг является лишь частью аудита безопасности.