17 мая 2021 в 4:03

Пентест или тестирование на уязвимости сетевой инфраструктуры компании

Работа современной компании уже практически немыслима без связи всех её подразделений единой корпоративной сетью и внедрения других передовых IT-решений для бизнеса, необходимость которых в наше время продиктована объективной конъюнктурой самого рынка.

 

Именно сейчас качественно построенная IT-инфраструктура организации начинает играть важнейшую роль в обеспечении эффективности многих бизнес-процессов, становясь сильнейшей опорой любой компании.

Однако, по той же причине – это одновременно может стать и одним из самых уязвимых мест любой организации, если не построить надлежащую защиту от внешних и внутренних угроз всех элементов сетевой инфраструктуры. Именно с этой целью многие компании прибегают к услуге внешнего аудита безопасности, которая также известна как, тестирование на проникновение или «пентест».

 

Цель проведения «пентеста»   

В техническом отношении проводимое тестирование на проникновение – это анализ угроз внешнего, а также внутреннего характера, и поиск слабых мест сетевой инфраструктуры компании. Делается это с применением специальных автоматизированных инструментов для тестирования возможности проникновения в систему извне.

Также сети проверяются на устойчивость к «ручным» методам проникновения (взлома системы), которые могут быть использованы злоумышленниками.

 

Цель проведения «пентеста»   

 

Обычно, результаты проведения пентеста подаются заказчику услуги в виде детального отчёта с подробным указанием выявленных уязвимостей сети, а также конкретными рекомендациями по их устранению.

Как правило, при оказании услуг по тестированию применяются лучшие, уже зарекомендовавшие себя практики в данной сфере. К примеру, NIST «SP800-115» или «OSSTMM». В то же время методика по которой будет проводиться пентест может быть индивидуально согласована с каждым отдельным заказчиком.

 

Конкретные цели пентеста

Помимо общей проверки состояния защищённости компании, тестирование сетевой инфраструктуры осуществляется с целью оценки соблюдения организацией различных нормативных требований и стандартов, которые такая организация в силу специфики своей деятельности обязана соблюдать.

К примеру, если тестируемая инфраструктура принадлежит компании, обрабатывающей платёжные данные клиентов по банковским картам, она должна придерживаться требований пункта 11.3 стандарта «PCI DSS», который обязывает к ежегодному проведению пентеста.

Также в качестве примера, можно назвать — требование пункта 2.5.5.1. (П.14.2) Положения Банка России № 382-П, который вменяет в обязанность организациям, осуществляющим финансовые переводы, ежегодное проведение пентеста.

 

Последовательность выполнения тестирования

 

Последовательность выполнения тестирования

Будучи серьёзной «проверкой на прочность» для любой компании или организации, тестирование на проникновение как правило, проводится сторонним подрядчиком для чистоты и объективности выполнения задачи. При этом пентест, который имитирует настоящую хакерскую атаку, обычно ведётся по заранее отработанной последовательности:

  • Получение или сбор информации о цели тестирования;
  • Применение подходов социального инжиниринга перед началом «атаки»;
  • Выявление точек входа в сеть организации;
  • Выявление и использование очевидных и скрытых уязвимостей;
  • Повышение привилегий в тестируемой системе;
  • Подготовка отчета и рекомендаций по результатам пентеста.

Как правило, тестирование сетевой инфраструктуры проводится вначале в отношении внешней сети, затем проверяются внутренние сервисы компании.

Примечательно, что процедура пентеста с одной стороны заключается в проведении ряда типовых действий, которые обычно автоматизируются для скорейшего выполнения задачи. С другой стороны, каждая обслуживаемая компания имеет индивидуальные особенности, что учитывается, при осуществлении необходимых «ручных проверок».