Пентест (англ. Pentest, penetration test) – это моделирование атаки злоумышленника для выявления уязвимых мест в информационной безопасности с дальнейшим планированием мероприятий по их устранению, чтобы повысить уровень защищенности.
В этой статье расскажем, кому нужна услуга пентеста, какие требования к пентестерам и коротко об этапах работы.
Для кого пентест
В целом, тестирование на проникновение необходимо для проверки уровня безопасности ИТ-инфраструктуры любой организации. Этот метод используется как для полного анализа всей инфраструктуры, так и для обнаружения уязвимостей её отдельных составляющих, вплоть до отдельных программных продуктов.
Особенно важно проводить тестирование на проникновение для объектов КИИ (подробнее о защите КИИ в нашей статье), а банкам и финансовым организациям это обязательно согласно положениям Банка России 382-П, 683-П, 719-П, 757-П).
Хороший пентестер
Качественно оказанные услуги зависят не от наличия профильного образования у специалистов, а прежде всего от навыков и опыта работы.
Примерные требования к навыкам специалиста по пентесту:
– опыт администрирования серверов;
– знание сетевых протоколов, технологий защиты, а так же основные сетевые уязвимости;
– понимание работы веб-протоколов, а так же их основных уязвимостей;
– знание рынка продуктов информационной безопасности;
– понимание технологий защиты информации;
– опыт работы со специализированным программным обеспечением;
– знание методологий вроде OWASP, PCI-DSS и т.д.;
– опыт разработки на языках программирования (Python, C, PHP или другие);
– знание хотя бы технического английского языка.
Пентестер должен не просто протестировать объект, но доступно ответить заказчику на вопросы по проведению тестирования на проникновение, сформировать отчет с рекомендациями по модернизации системы защиты информации.
Найти такого универсального сотрудника проблематично, поэтому выгоднее привлечь к работам компанию. Там будет выше квалификация сотрудников, больше и разнообразнее (из-за разных сфер клиентов) опыт работы и кейсы. Компании следят за своей репутацией, поэтому качество работы их специалистов чаще всего на уровне.
Как проходит пентест
Подробнее о том, как проходит пентест, вы можете прочитать в разделе наших услуг. Здесь лишь коротко выделим этапы.
- Сбор данных о заказчике в открытых источниках, о допусках сотрудников.
- Сбор данных о техническом и программном оснащении.
- Анализ уязвимостей и угроз.
- Имитация реальной атаки злоумышленников для получения сведений об уязвимостях.
- Формирование отчета.
Отчет по итогам пентеста включает в себя перечень выявленных уязвимостей, ошибок в работе средств защиты с подробным описанием их причин, вероятность появления этих ошибок и их последствий, оценкой критичности и расчет возможных экономических потерь, а так же рекомендации решений для устранения пробелов в ИБ организации.
Подготовка ТЗ для пентеста
Хорошо, если заказчик понимает для каких целей он заказывает услугу пентеста и может составить техническое задание (ТЗ) так, чтобы у исполнителя возникло меньше вопросов. Это в первую очередь сокращает время на подготовку.
В ТЗ важно отразить следующие вопросы:
– объекты, выделенные для тестирования;
– сроки проведения работ;
– виды нарушений, которые необходимо исключить;
– способы доступа к объектам;
– ответственное лицо со стороны заказчика и его контакты, с которым держит контакт исполнитель.
При подготовке техзадания рекомендуем опираться на Указ Президента от 01.05.2022 № 250 и типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры.
Основные аспекты Указа № 250, которые стоит учесть:
- Наличие ответственного лица не ниже должности заместителя руководителя, а так же отдела или службы по информационной безопасности.
- Для мероприятий по тестированию привлекать лицензированные во ФСТЭК и ФСБ организации.
Заказчик издает также соответствующее разрешение на проведение работ с указанием курирующих со стороны заказчика лиц и описанием разрешенных работ и допусков.
Заключение
Регулярность проведения пентеста, конечно, пока еще не достигла того уровня, который мог бы обеспечивать максимальную безопасность организаций. По данным из различных источников непрерывно проверяют свою инфраструктуру до 52% компаний. Остальные обращаются за такой услугой или вводят в штат специалистов после инцидентов ИБ или уведомлений от регуляторов о необходимости проведения пентеста. Ну, или делают это когда захочется, а ведь могут и не успеть. Несовершенство системы защиты информации организации может привести и к банкротству.
Предупредите реальные хакерские атаки. Обращайтесь к нам за услугой пентеста. Мы поможем найти слабые места в вашей системе защиты информации, а также сохранить репутацию надежной компании.