Пожар легче предупредить, чем тушить, или почему пентест так важен
Отдел информации

Пожар легче предупредить, чем тушить, или почему пентест так важен

Тестирование на проникновение (также называемое «Penetration test») — это процесс тестирования приложений на наличие уязвимостей.

Эффективный тест на проникновение обычно проходит с участием квалифицированного пентестера (кандидаты должны иметь практический опыт и быть осведомлены о важности управления услугами ИТ и систематическом подходе ITIL).

Нужно удостовериться, что изначально пентестеры не имеют доступа к любому исходному коду и сетям. Тесты на проникновение могут проводиться для диапазонов IP-адресов, отдельных приложений либо компаний в целом. Уровень доступа, который вы предоставляете взломщику, зависит от того, что вы пытаетесь тестировать. Вот несколько примеров:

● Вы можете дать команде тестировщиков проникновения адрес офиса компании и дать задание на получение доступа к системам. Команда может использовать огромный спектр различных методов, чтобы попытаться проникнуть в организацию, от социальной инженерии (например, попросить администратора заглянуть в серверную для проведения проверки безопасности и установить USB-кейлогер) до сложной прикладной атаки.

● Тестеру можно предоставить доступ к версии веб-приложения, которое вы еще не развернули, и попросить его получить доступ либо нанести ущерб любым возможным способом.

Связующим звеном между всеми видами пентеста является то, что они должны давать результат. Совершенной системы не существует, и любая организация может предпринять дополнительные меры для повышения своей безопасности. Целью теста на проникновение является выявление ключевых слабых мест в ваших системах и приложениях, чтобы определить приоритетность распределения ресурсов для повышения безопасности вашего приложения и организации в целом.

Почему тестирования так важны

Они могут дать сотрудникам службы безопасности реальный опыт в борьбе с внедрением. Pentest следует проводить в тайне от персонала. Только в таком случае организация сможет проверить, действительно ли ее политики безопасности эффективны.

Тест на проникновение сродни пожарным учениям. Он может раскрыть отсутствующие аспекты политики безопасности. Например, многие уделяют большое внимание предотвращению и обнаружению атак на системы организации, но пренебрегают процессом нейтрализации злоумышленника. Во время теста можно узнать, способна ли ваша команда эффективно удалить злоумышленника из системы до того, как он нанесет ущерб.

Отчеты о тестировании на проникновение могут быть использованы, чтобы помочь обучить разработчиков делать меньше ошибок. Если разработчики смогут увидеть, как человек со стороны взломал приложение или часть приложения, которое они помогли разработать, они будут более мотивированы улучшить навыки в области безопасности и избежать подобных ошибок в будущем.

Итак, если ваша организация еще не использует регулярные тесты на проникновение для проверки безопасности своих систем, приложений и организации в целом, то почему бы и нет? Первые несколько тестов на проникновение вероятно покажут шокирующие результаты и дадут понять, что ваша организация гораздо более уязвима для атак, чем вы могли себе представить.

Читайте нас ВКонтакте и в Одноклассниках