Что такое «пентест» и как своевременно защитить свои данные
Уже в момент организации бизнеса стоит задуматься об уровне безопасности данных. Если, спустя n-ное количество времени работы, организатор внезапно захочет условно защитить свою компанию от возможной внешней атаки злоумышленников, это потребует огромных денежных вложений, поскольку существующая на данный момент система или приложение просто не рассчитаны на обеспечение этой безопасности.
Важно помнить о том, что «защита не начинается с пентеста – это совершенно точно...решает всегда комплекс».
Что такое penetration test?
Целью любой службы информационной безопасности является повышение уровня безопасности. Для этого важно понимать, насколько уязвима система, какие в ней есть лазейки, которыми могут воспользоваться для взлома и получения информации.
Именно в этот момент мы говорим о таком понятии как «penetration test» или пентест, поскольку это актуальный и наиболее действенный способ анализа защищённости информационной системы компании или отдельных её элементов. Пентест это также и проверка на получение доступа к вашему приложению или системе.
Сам пентест сродни сигналу «пожарной тревоги» системы – он позволяет комплексно проверить, насколько все элементы системы хорошо защищены, начиная с работы сотрудников компании и заканчивая реагированием служб информационной безопасности на возможную атаку.
Здесь стоит отметить, что пентестинг – это контроль не только внешней среды, но и внутренней. Важно учитывать человеческий фактор. Какой нерушимой не казалась бы существующая защита, отражая внешние атаки, она может сломаться изнутри – для этого достаточно подключить носитель с вредоносной программой или ПО.
Поэтому система безопасности – комплексное понятие. Она будет работать только тогда, когда функционируют не только всевозможные программы защиты, но и все сотрудники работают ей во благо.
«Чем выше топ, тем короче его пароль»
Пентест – это не просто анализ защищённости системы. Penetration testing (тестрование на проникновение) – это всесторонний процесс, заключающий в себе внешний и внутренний анализы, а также обучение сотрудников, направленное на ознакомление с работой систем безопасности с целью предотвращения атак изнутри.
Какие понятия пентеста не стоит путать?
Зачастую понятие пентеста путают с:
- Red teaming – имитация атак;
- Bug Bounty – компания привлекает специалистов со стороны для тестирования систем безопасности;
- Сервисы и продукты класса BAS
Процедура проведения пентеста.
Во-первых, в зависимости от поставленной задачи, пентест может длится разное количество времени – его сроки колеблятся от нескольких недель до месяца, а может и дольше. Во-вторых, не стоит забывать и том, что penetration test – бюрократически сложная процедура, и зачастую именно её оформление занимает бОльшую часть времени, что увеличивает сроки проведения пентеста. Проведение пентеста, по мнению экспертов, должно совпадать со сроками обновления, к примеру, приложений. Если мы говорим о работе системы безопасности, то здесь резонно проводить пентест пару раз в год.
Как и само проведение пентеста должно быть комплексным, так и отчёт тоже состоит из нескольких пунктов:
- Резюме для руководства
- Рамки проекта
- Преимущества подхода
- Описание выявленных уязвимостей
- Наблюдения
- Рекомендации
В случае с редтимингом отчёт может быть более подробным (к примеру, там могут быть ссылки на базы уязвимостей ФСТЭК России или техник MITRE), поскольку изначально цель редтиминга более узкая, а процесс более «воинственный», в отличие от более комплексного и общего подхода пентеста.
Основная задача пентеста заключается в том, чтобы зафиксировать все обнаруженные проблемы. Основной же задачей red-teaming'а является проверка устойчивости системы и навыков тех, кто должен защищать ее.
Кто такой хороший пентестер?
Требования для пентестеров в основном точно такие же, как и к другим специалистам: важен опыт работы, наличие сертификатов (к примеру, OSWE – offensive security web expert или OSCP – offensive security certified professional), а также отзывы от других заказчиков, однако проблема референсов очень серьёзная – не все организации готовы открыто говорить о факте проведения пентеста, ведь именно это может указать на наличие уязвимостей их системы безопасности.
На данный момент процесс сертификации профессионалов усложнился, поскольку некоторые зарубежные компании закрыли российским специалистам возможность проверки уровня их знаний. По этой причине наличие просроченных документов, подтверждающих уровень квалификации, не является минусом. Уже по общению с возможным пентестером заказчику станет ясно, насколько он подходит заявленной задаче.
Спрос на услуги пентестеров за последние годы вырос – к примеру в компании CISO AWILLIX запросы на услуги пентестинга увеличились почти в полтора раза за последние три года.
Пентест сегодня
Итак, пентест – один из лучших комплексных методов проверки систем безопасности компании на уязвимость. Задумавшись о защите данных сегодня, владелец компании делает большой вклад в безопасность будущего. Пентест показывает картину эффективности процессов безопасности, даёт «пищу для размышлений», но при этом не является окончательным этапом проверки систем защиты. Penetration test – неотъемлемый этап цикла обеспечения безопасности компании.
