+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Что такое пентест (pentest)?

Что такое пентест?

Пентест (penetration test, пенетрейшн тест) – тестирование на проникновение, иначе анализ системы на наличие уязвимостей. Это метод оценки безопасности информационной системы путем моделирования атаки злоумышленников. Пентестинг ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.

Какая цель пентеста (тестирования на проникновение)?

Цель тестирования – обнаружить возможные уязвимости и недостатки, способные привести к нарушению конфиденциальности, целостности и доступности информации, спровоцировать некорректную работу системы или привести к отказу от обслуживания, а так же спрогнозировать возможные финансовые потери и экономические риски. Тестирование затрагивает как виртуальный уровень, так и физический.

По результатам тестирования на проникновение дается оценка возможностей текущего уровня защищённости выдержать попытку вторжения потенциального злоумышленника, данные о количестве времени и ресурсов, требуемых для успешной атаки на заказчика. В случае выявления уязвимостей в обязательном порядке составляется список рекомендаций по устранению вышеуказанных уязвимостей.

Что входит в тестирование на проникновение?

Суть работ заключается в моделировании действий злоумышленника, намеренного получить доступ к информационным системам заказчика и нарушить целостность, конфиденциальность либо доступность принадлежащей заказчику информации. Самыми частыми объектами исследований являются:

  • Системы управления базами данных;
  • Сетевое оборудование;
  • Сетевые службы и сервисы (например, электронная почта);
  • Средства защиты информации;
  • Прикладное программное обеспечение;
  • Серверные и пользовательские операционные системы
Запрос коммерческого предложения

Программы для проведения пентеста

В penetration test используются определенные программы для работы с уязвимостями систем, например:

    1. Metasploit — программа для предоставления информации об уязвимостях, помощи в создании характерных признаков вирусных программ для систем обнаружения вторжений (например, антивирусов), создания и тестирования атак на вычислительные системы
    2. Nmap – утилита, предназначенная для настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Программа доступна в различных версиях для множества операционных системПентест: программа zenmapПентест: программа Nmap
    3. Nessus – инструмент для автоматизации проверки и обнаружения уязвимостей и брешей в защите информационных систем. Программа распространяется по General Public License, то есть, программа имеет открытый исходный коданализ уязвимости (pentest)тестирование на проникновение с помощью Nessus
    4. Kali Linux – дистрибутив с определенными настройками, приложениями и инструментами, предназначенный для этичного хакинга и тестирования на проникновение. Данная программа так же работает на нескольких платформахэтичный хакинг
  1. Примеры пентестинга

    Какие вопросы ставятся перед специалистами, методика тестирования на проникновение, как выглядит процесс тестирования? Расскажем об этом на примере тестирований, проведенных нашими экспертами:

    • По заказу частной организации был заключен договор на проведение пентеста инфраструктуры вышеупомянутой организации. Исследование проводилось из офиса экспертного учреждения, использовался внешний IP-адрес. В ходе тестирования на первом этапе выявлялись используемые типы оборудования при помощи программного обеспечения Router Scan и NMap. В процессе тестирования периметра компании были обнаружены сервера и программное обеспечение с уязвимыми компонентами, которые позволяют злоумышленнику реализовать атаки на получения несанкционированного доступа к серверам банка, информации клиентов и осуществить несанкционированное проникновение во внутреннюю сеть банка. Установлено, что уязвимая версия Windows содержит определенный уязвимый компонент, который используется веб сервером, благодаря чему удаленный злоумышленник может выполнить удаленный код на сервере или вызвать отказ в обслуживании вышеуказанного сервера. Дана рекомендация по установке обновлений безопасности Windows.
    • По заказу частной организации был заключен договор на проведение пентеста инфраструктуры вышеупомянутой организации. Исследование проводилось из офиса экспертного учреждения, использован внешний IP-адрес. В ходе тестирования на первом этапе выявлялись используемые типы оборудования при помощи программного обеспечения Router Scan и NMap. Исходя из полученной посредством сервиса WhoIs информации, резервный IP-адрес принадлежит пулу адресов провайдера, предоставляющего услуги организации – заказчику. Услуга для данного пула поставляется по стандарту ADSL. Данный стандарт связи является устаревшим и несет угрозу отказа в обслуживании. Однако, применение данного стандарта связи для резервного канала допустимо. На следующем этапе проведено сканирование средствами ZMap поочередно всех предоставленных адресов на наличие открытых портов для возможностей дальнейшего поиска уязвимостей. В результате анализа выявлен порт 9091, открытый по протоколу TCP. Иных открытых ресурсов не идентифицировано. Иные порты имеют статус closed, filtered либо open|filtered, что делает их дальнейшее применение в тестировании на проникновение нецелесообразным. Идентификация используемых сервисов на предоставленных заказчиком IP-адресах не выполнена, так как тестируемая инфраструктура носит закрытый характер. Для обеспечения полноты тестирования на проникновение и анализа уязвимостей, было применено средство Armitage и база данных уязвимостей Metasploit. В ходе проверки уязвимостей на ресурсах Заказчика не выявлено.

    Что является результатом пентеста?

    Результатом проведенного теста на проникновение является отчет специалиста. Форма и содержание отчета не регулируется на законодательном уровне, что указывает на то, что формат отчета определяется экспертом, его составляющим. Обычно отчет содержит следующие данные:

    • Данные об эксперте (экспертах), составившем отчет;
    • Дата начала и завершения производства работ;
    • Основание для производства исследования;
    • Предоставленные заказчиком ресурсы;
    • Использованные материалы и справочная литература;
    • Использованные программные и аппаратные средства;
    • Обстоятельства проведения работ;
    • Ход проведения работ (процесс пентестинга);
    • Обнаруженные критические уязвимости;
    • Рекомендации по устранению критических уязвимостей;
    • Дополнительная информация и приложения к отчету (ссылки, расшифровки)

    Таким образом, по результатам проведения penetration test заказчик получает полную информацию об уязвимостях собственной информационной системы, а так же конкретные указания и рекомендации к устранению этих уязвимостей.

    Заключение

    Тестирование на проникновение проводится с применением широкого списка специализированных программ и приложений (подбор паролей, поиск уязвимостей портов IP-сетей, обнаружение вредоносных программ) и охватывает большое количество пунктов проверки. Самые распространенные из них:

    • Сбор информации (поиск данных о заказчике в открытых источниках, сбор данных о допусках сотрудников)
    • Поиск технической базы (определение и сбор данных о существующих ресурсах, операционных системах, программном обеспечении и приложениях)
    • Анализ уязвимостей и угроз (обнаружение уязвимостей в системах безопасности, приложениях и программном обеспечении с применением специализированных программ и утилит)
    • Эксплуатация и обработка данных (на этом этапе происходит имитация реальной атаки злоумышленников для получения сведений об имеющихся уязвимостях с целью последующего анализа, а так же сбор данных о возможных сроках взлома системы и расчета экономических рисков)
    • Формирование отчета (этап оформления полученной информации, составление рекомендаций и инструкций к устранению существующих уязвимостей)
  2. Для чего же нужен pentest и как часто необходимо проводить тестирование? Как мы уже упоминали выше по тексту, тест на проникновение дает наиболее полную картину о состоянии информационной безопасности на предприятии, позволяет выявить слабые и незащищенные места и вовремя принять меры по улучшению безопасности, дать понимание о текущей работе отделов, связанных с информационной безопасностью, дает план действий по устранению уязвимостей. Многие специалисты по информационной безопасности рекомендуют проводить penetration test на регулярной основе, наилучшее решение – ежегодно (п. 3.2. положения Банка России от 17.04.2019 № 683-П). Технологии информационной безопасности очень быстро устаревают, решение, оптимальное для предприятия заказчика на данный момент, не будет таковым через некоторое время.Следует отметить, что специалиста для проведения пентеста лучше выбирать со стороны, это должен быть компетентный человек, незаинтересованный и беспристрастный. Сотрудники службы безопасности организации – заказчика на эту роль не подходят, так как напрямую заинтересованы в результате и могут просто не обладать нужным уровнем знаний. Эксперт со стороны, обладающий минимальными знаниями об архитектуре системы безопасности заказчика, с большей вероятностью обнаружит ее уязвимости. Тестирование на проникновение – необходимый элемент обеспечения информационной безопасности для любой организации.
Пинтест

Задать эксперту вопрос по пентесту

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Связанные услуги

Тест на проникновение (пентест) и анализ уязвимостей

Тест на проникновение (пентест) и анализ уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 382-П, 683-П, 684-П
- Почему RTM Group?
- Цена проведения пентеста

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

- Где содержится требование проводить оценку (анализ) уязвимостей ПО?
- Какое ПО нужно оценивать на уязвимости по 382-П 684-П и 683-П?
- Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
- Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
- Отчет по анализу уязвимостей ПО
- Дополнительные услуги по анализу уязвимостей
- Почему RTM Group?
- Цена работ по анализу уязвимостей программного обеспечения
- Заказать работы по анализу уязвимостей программного обеспечения

Аудит (оценка соответствия) по ГОСТ Р 57580

Аудит (оценка соответствия) по ГОСТ Р 57580

- Кто имеет право проводить оценку соответствия по ГОСТ 57580?
- Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
- Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
- Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
- Оценка по Приказу №321 Минкомсвязи (Биометрия)
- Почему RTM Group?
- Цена оценки соответствия по ГОСТ Р 57580.2

Оценка соответствия по 382-П

Оценка соответствия по 382-П

- Скачать актуальную редакцию 382-П
- Что необходимо для проведения оценки соответствия по 382-П?
- Как проводится оценка соответствия по 382-П?
- Что включает в себя отчет по 382-П?
- Дополнительные услуги по 382-П
- Почему RTM Group?
- Цены
- Заказать аудит по 382-П

Приведение в соответствие и оценка по 683-П для банка

Приведение в соответствие и оценка по 683-П для банка

- Суть 683-П
- Какая информация должна защищаться по 683-П?
- На кого распространяются требования 683-П?
- Важные требования 683-П для банков
- Оценка по ГОСТ 57580.2 для банков
- Когда 683-П вступает в силу?
- Дополнительные услуги по 683-П
- Почему RTM Group?
- Цена работ по 683-П для банков
- Заказать работы по 683-П

Приведение в соответствие и оценка соответствия по 672-П

Приведение в соответствие и оценка соответствия по 672-П

— Суть 672-П
— ГОСТ Р 57580 как часть 672-П
— Что нужно сделать для выполнения 672-П?
— Список документов для соответствия 672-П?
— Сроки приведения в соответствие 672-П и ГОСТ 57580
— Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)
— Как оценить выполнение 672-П и ГОСТ?

Приведение в соответствие и оценка по 684-П для НФО

Приведение в соответствие и оценка по 684-П для НФО

- Суть 684-П
- Какая информация должна защищаться по 684-П?
- На кого распространяются требования 684-П?
- Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
- Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
- Когда 684-П вступает в силу?
- Цена работ по 684-П для НФО
- Заказать работы по 684-П

Аудит на соответствие 152-ФЗ «О персональных данных»

Аудит на соответствие 152-ФЗ «О персональных данных»

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ