Вопросами своей информационной безопасности в наше время озабочена любая нормальная компания, и, в принципе, даже среди государственных и общественных организаций есть такие, которым беспокойство по данному вопросу, скажем так, совсем не чуждо. Однако купить специализированный софт, нанять специалиста, который настроит систему, и периодически его обновлять - это ещё не всё, что нужно для того, чтобы она успешно работала и выполняла возложенные на неё функции. Для того, чтобы определить, что ещё для этого нужно, и существуют пентесты. О том, что это такое и с чем, образно говоря, их едят, мы и поговорим сегодня в нашей рубрике "F.A.Q.".
Пентест - это калька с английского pentest, что расшифровывается как penetration test, или, говоря русским языком, тест на проникновение. Во время подобного теста специалист-тестировщик устраивает псевдоатаку на корпоративную сеть, инсценируя действия реальных злоумышленников или атаку, проводимую каким-то вредоносным программным обеспечением без непосредственного участия самого взломщика. Целью данных тестов является, конечно же, в первую очередь, выявление слабых мест в защите корпоративной сети от подобных атак и, соответственно, устранения найденных в ходе пентестов брешей.
Существует два типа пентестирования: тестирование "чёрного ящика" и тестирование "белого ящика". В первом случае, как несложно догадаться, специалисты, проводящие тестирование, не имеют в своём распоряжении информации о внутреннем устройстве защиты и даже об инфраструктуре сети. Во втором случае, напротив, им доступна практически вся подобная информация. Есть ещё промежуточные варианты, когда про сеть и про защиту всё-таки что-то известно, но далеко не так много, как хотелось бы. Их, не без юмора, называют "тестированием серого ящика". Преимущества каждого из видов тестирования активно обсуждаются специалистами, однако большинство из них сходятся в том, что оптимальным вариантом является применение тестов и для чёрного, и для белого ящиков.
Зачастую подобное тестирование поддаётся автоматизации, и, в общем-то, во многом усилия пентестеров направлены именно на максимальную автоматизацию своей работы. В этом заинтересованы и заказчики, потому что автоматическое тестирование, конечно, выходит дешевле, чем ручное.
В последнее время схему применения пентестов для обнаружения слабых мест в системе защиты компании достаточно часто критикуют как те, кто использует пентесты, так и те, кто не хочет их использовать. Наиболее частые аргументы противников пентестов - это недостаточная комплексность (т.е. никто не может вам гарантировать, что пентест выявил все дыры в вашей системе безопасности), отсутствие возможности проконтролировать деятельность пентестеров, а также отсутствие гарантии в том, что найденные "дыры" не использованы самими пентестерами для того, чтобы украсть информацию у заказчика. Впрочем, пока что тем, кто использует пентесты для усиления собственной защиты, придётся мириться со всеми недостатками, присущими данному методу, потому что на сегодняшний день хороших альтернатив ему, в общем-то, не предвидится.
В настоящее время существует множество стандартизированных методологий проведения пентестов, например, таких, как GWAPT, IEM, OWASP. Если вы хотите заказать кому-то пентест, будет лучше, если в своей работе этот кто-то будет руководствоваться указаниями, изложенными в каком-то из подобных стандартов.
Вадим СТАНКЕВИЧ,
[email protected]
Горячие темы