Этот инструмент, хоть и распространен намного меньше, чем следовало бы, является достаточно важным и необходимым для того, чтобы знать риски, с которыми сталкивается ваша компания. Чтобы иметь реальное представление об опасностях, которым подвергается ваша компания, существуют определенные инструменты, которые вам необходимо понимать и оценивать по достоинству. В противном случае, вы можете недооценивать бреши безопасности, которые могут поставить под угрозу вашу компанию. К счастью, есть хорошие новости: благодаря пентестинг (pentesting) или тестам на проникновение, можно точно определять такие дыры безопасности.
Что такое пентестинг?
Пентестинг включает в себя серию тестов на проникновение, основанных на атаках ИТ-систем для выявления их слабых мест или уязвимостей. Они предназначены для классификации и определения масштабов брешей безопасности, а также их степени влияния. В результате таких тестов вы можете получить достаточно четкое представление об опасностях для вашей системы и эффективности вашей защиты.
Пентесты помогают определить вероятность успеха атаки, а также выявить дыры безопасности, которые являются следствием уязвимостей с низким уровнем риска, но использующихся определенным образом. Они также позволяют выявлять другие уязвимости, которые невозможно обнаружить с помощью автоматизированного сетевого ПО или специальных программ, а также могут использоваться для оценки того, способны ли менеджеры по безопасности успешно обнаруживать атаки и эффективно реагировать на них.
Как выполняется пентестинг
Существует несколько типов пентестов, классифицированных в соответствии с типом информации о системе. В whitebox-пентестах известно все о системе, приложениях или архитектуре, а в blackbox-пентестах нет никакой информации о цели. Имейте в виду, что такой тип классификации, - это практическая необходимость, т.к. часто условия тестирования основаны на критериях пользователя.
После этого необходимо выбрать один из различных методов пентестинга. Выбор будет обусловлен характеристиками системы или даже осуществляться в соответствии с внешними требованиями в компании. В любом случае доступные методы, среди прочего, включают ISSAF, PCI, PTF, PTES, OWASP и OSSTMM. У каждого метода достаточно много своих нюансов, но их глубокое знание необходимо при реализации пентестов.
Какой метод выбрать?
По мнению ряда экспертов, достаточно хорошими типами пентестов являются PTES и OWASP, благодаря тому, как эти методы структурированы. По их словам, Penetration Testing Execution Standard (или PTES) в дополнение к тому, что он принят многими авторитетными специалистами, уже является моделью, используемой в учебных пособиях для таких систем пентестинга, как Rapid7 Metasploit.
С другой стороны, Open Source Security Testing Methodology Manual (OSSTMM) сейчас стал стандартом. Хотя эти тесты не особо новаторские, он является одним из первых подходов к универсальной структуре концепции безопасности. Сегодня он стал ориентиром не только для организаций, которые хотят разрабатывать качественный, организованный и эффективный пентестинг, но и для целого ряда компаний.
В качестве альтернативы, Information Systems Security Assessment Framework (ISSAF) организует данные вокруг так называемых «критериев оценки», каждый из которых был составлен и рассмотрен экспертами в каждой сфере применения решений безопасности. Payment Card Industry Data Security Standard (PCI DSS) был разработан советом ведущих компаний-эмитентов кредитных и дебетовых карт и он служит в качестве руководства для организаций, которые обрабатывают, хранят и передают данные о владельцах карт. Именно под этот стандарт был разработан PCI-пентестинг.
Количество методов и фреймворков достаточно большое, они обширны и разнообразны. Как уже было сказано, выбор между ними будет зависеть от понимания потребностей вашей компании и знания требуемых стандартов безопасности. Но делая все правильно, вы сможете защищать свои системы намного более эффективно, заранее зная, где и как они могут выйти из строя. Бесценная информация для тех, кто умеет ею пользоваться.
