Penetration test: лучшая защита — это нападение

Информационная безопасность — важнейшее направление деятельности любой компании. Взломы, вторжения и другие нарушения создают риски утечки персональных данных, информации о платежах, не говоря уже о репутационных потерях. Поэтому защита информационной инфраструктуры компании имеет первостепенное значение.

Самый частый способ вторжения — извне, когда злоумышленники используют доступные уязвимости системы. А эти уязвимости могут существовать в самих неожиданных местах, даже если защита информационной среды ведётся системно. Не обо всех слабых местах того или иного программного обеспечения становится известно оперативно, выпущенные для решения проблемы обновления могут выходить с запозданием и т.д. Поэтому услуга комплексного исследования и оценки состояния информационной безопасности сегодня очень востребована.



Одним из важнейших элементов такого исследования является penetration test (или просто pentest) — тестирование на проникновение. Это не только проверка, можно ли проникнуть в систему. Как правило, для заказчика этой процедуры не так важен однозначный ответ «да» или «нет». В первую очередь важно найти все возможные уязвимости системы, ведь злоумышленник вместо того, чтобы интенсивно штурмовать одно труднодоступное направление проникновения, постарается найти лазейку там, где мало кому придет в голову искать. Ну и кроме этого, чем больше «дыр», тем большую потенциальную опасность они представляют, да и ущерб компании попытки взлома могут нанести разными способами и в разном объеме. Поэтому пентест — это определение вероятных потенциальных направлений проникновения.

Пентест может проводиться тремя методами. По аналогии с «белым» и «черным» списками, это методы «белого», «черного» или «серого» ящика. В первом случае тестировщик получает всю информацию об информационной системе компании, которая может быть использована для проникновения: IP-адреса, схема сети и др. Во втором — наоборот, почти никакой, максимум адрес сайта или название компании. Чаще всего работает третий вариант, когда выдается ограниченное количество информации. Тестировщики проводят разведку, сканирование, определение уязвимости и при необходимости зачистка.

Спрос на пентест в России весьма высок. При этом заказчики тестирования хотят иметь дело с надежной компанией, ведь на кону стоит безопасность. Заказать пентест можно у компании Айти Глобал — одного из ведущих игроков на рынке ИТ-услуг.