Утечка данных всегда ведёт к потерям, в первую очередь финансовым и репутационным (доверие клиентов снижается, когда данные скомпрометированы), а в некоторых ситуациях кибербезопасность переплетается и буквально с физической безопасностью.
Даже если хакеры не выкрали ценную интеллектуальную собственность и не захватили контроль над платёжными инструментами, атака может застопорить корректную работу системы и таким образом парализовать рабочие процессы. Pentest – эффективный метод предупредить неприятности, главное доверить его профессионалам.
Что такое пентест?
Это устоявшееся в айти-среде сокращение от «penetration test», то есть «испытание на проникновение».
Проверка представляет собой имитацию действий хакеров, пытающихся взломать систему, своего рода краш-тест. Смысл этого мероприятия – выявить существующие уязвимости, проанализировать их и дать оценку безопасности системы. Разница между реальной атакой и пентестом заключается только в намерениях взломщика – в первом случае это злоумышленник, пытающийся выкрасть конфиденциальные данные, несанкционированно получить контроль над системой и использовать результат в собственных интересах, а во втором – команда айтишников, действующих с согласия заказчика, чтобы помочь ему найти слабые места и усовершенствовать защиту, а результаты никуда не утекают.
Этапы испытаний от CQR Company
Подписывается соглашение о неразглашении, договор. Согласовываются границы проверки и обсуждается ТЗ. В частности, необходимо договориться о формате тестирования. White-box предполагает, что заказчик даёт максимальную информацию. У команды есть схема сети, IP-адреса и прочие данные, представление об инфраструктуре. Зачастую специалисты даже посещают локацию, могут взаимодействовать с аппаратурой. Grey-box означает обладание отдельными сведениями, а black-box – практически нулевые вводные.
Команда занимается разведкой, сбором связанной с компанией информации для разработки тактики «взлома». Это, например, выявление субдоменов, обратный просмотр ДНС, исследование трафика, поиск адресов и логинов.
На этом этапе план «взлома» конкретизируется. Появляется более чёткое представление о предполагаемых слабых местах, возможно определить, взломается система изнутри (через опции, доступные персоналу и т.д.) или извне (через порты, протоколы и прочее). Компания, выполняющая пентестинг, применяет профессиональные инструменты для сканирования инфраструктуры, в CQR Company особого внимания заслуживает собственная разработка CryEye.
Выполняется взлом в изначально согласованных рамках. Проверяются все выявленные на предыдущих этапах слабости.
Выполняется анализ рисков, команда работает над идеями по улучшению, а также устраняет все следы своего пребывания в системе, «откатывая» её к первоначальному состоянию (если это по каким-либо причинам становится невозможно, заказчика уведомляют).
Предоставляется подробнейший отчёт с рекомендациями.
