Пентестом (от англ. pentest, penetration testing — тестирование на проникновение) называется проверка защищенности компьютерной системы, сети, сайтов, приложений и других объектов, которые могут стать целью атаки злоумышленников. Обычно такая работа поручается внешним подрядчикам (например, ).
Рост атак
Специалисты в последние годы высказывают серьезную озабоченность ростом кибератак, которые могут быть направлены практически на любые компьютерные системы, будь то школьный портал, локальная сеть организации или даже IT-система крупной компании, как «Аэрофлот».
Если раньше целенаправленными атакими в основном занимались хакерские группы, которые преследовали финансовые цели, то сегодня те же хакеры могут заниматься взломом по идеологическим причинам. Кроме того, считается, что кибератаками занимаются и подконтрольные государствам группы.
Отдельная опасность исходит от возрастающей мощи нейросетей и технологий искусственного интеллекат, благодаря которым атаки становятся более опасными и масштабными. ИИ способен круглые сутки искать дыры и проверять доступные уязвимости в поисках бреши.
Рост ущерба
Компания, которая подверглась взлому, «получает удар» сразу по нескольким направлениям: финансовые и репутационные потери, а также юридические последствия. Киберпреступники могут вымогать деньги, обрушить отдельные элементы ИТ-инфраструктуры, вывести из строя ИТ-системы, украсть или удалить данные и т.д.
Белые хакеры
В отличие от злоумышленников, существуют так называемые белые хакеры, которые помогают находить уязвимости и дыры в существующих ИТ-системах, сетях, сайтах и приложениях. За найденные баги они получают деньги. То есть это обычная работа, связанная с кибербезопасностью.
Пентест проводят обычно для следующих объектов:
- внешний периметр сети
- внутренняя сеть, включая беспроводной сегмент
- сайты, веб-приложения и мобильный софт, включая исходный код
Также практикуется защита от целевых угроз.
Как выбрать подрядчика
Для проведения пинтеста можно обратиться как к частным лицам, так и в специализированные организации. Первый вариант кажется менее затратным, однако риски гораздо выше. Выгоднее заплатить больше, зато получить более качественный результат.
В этом случае вы заранее будете знать стоимость предстоящих работ, сможете ознакомиться с имеющими сертификатами сотрудников, используемыми методиками тестирования, заказать комплексный аудит безопасности.