По исследованию Positive Technologies, один из самых популярных методов кибератак — эксплуатация уязвимостей веб-ресурсов. До 63% злоумышленников проникают в инфраструктуру именно таким образом.
Пентест (от англ. penetration test, тестирование на проникновение) — это контролируемая имитация кибератаки на информационную систему, сеть или приложение с целью выявления уязвимостей.
Главная ценность пентеста для бизнеса —возможность увидеть ИТ-инфраструктуру не такой, какой она должна быть по документам, а такой, какой ее видит злоумышленник. Какие ресурсы взломают первыми, как быстро команда это заметит и как устранить уязвимости? На эти вопросы можно ответить после пентеста.
В конце статьи — сравнительная таблица подходов.
Как пентест работает в практике компании
В зависимости от целей и уровня прозрачности инфраструктуры для команды тестирования выделяют три основных подхода к проведению пентестов.
-
«Черный ящик»
Команда пентестера выступает в роли внешнего хакера, не имея никакой внутренней информации. На входе — только название компании или домен.
Специалисты начинают с нуля и ищут векторы атаки так же, как реальный внешний атакующий. Это разведка в открытых источниках. «Черный ящик» отлично показывает, как ваша защита ведет себя в реальной боевой ситуации: что видно снаружи, насколько быстро реагирует мониторинг и команда безопасности.
-
«Серый ящик»
Тестировщики получают минимальный, но достаточный контекст — например, архитектурную схему и учетные записи рядовых пользователей, но не полные административные права. Этот подход позволяет быстрее пройти «рутинный» разведочный этап и сосредоточиться на углубленных сценариях атак на ключевые системы. Этот подход демонстрирует, что происходит, если злоумышленник действует изнутри сети. Может ли он повысить привилегии, получить доступ к финансовым данным или ядру системы?
-
«Белый ящик»
Пентестерам предоставляется вся информация: архитектурные схемы, доступы к тестовым средам, документация, а иногда — и исходный код. Пентест в этом случае превращается в глубокий технический аудит, где цель — не только «взломать», но и помочь команде разработчиков и администраторов вычистить системные уязвимости и архитектурные ошибки. Это уже не симуляция атаки, а углубленный инженерный анализ, который покажет, как лучше изменить ИТ-архитектуру для максимальной безопасности.
На что стоит опираться при выборе подхода
- Выберите «Черный ящик», если вам нужно стресс-тестирование вашей защиты в актуальном состоянии. На основе отчета вы сможете быстро исправить основные уязвимости.
- Выберите «Белый ящик», если ваша цель — глубокая проверка критической системы перед важным запуском. Этот позволит убедиться в защите инфраструктуры и составить план модернизации.
- Выберите «Серый ящик», если вам нужен сбалансированный подход для регулярной проверки, который позволит сфокусироваться на главных бизнес-рисках. Такие пентесты будут регулярно подтверждать защищенность ресурсов как снаружи, так и изнутри.
Специалисты OXYGEN готовы бесплатно проверить ваши внешние ресурсы и выявить все известные уязвимости с помощью современного сканера.
По итогу анализа мы предоставим вам подробный отчет. Так вы сможете убедиться в защищенности ваших ресурсов или обратить внимание на слабые места, если они будут выявлены. Сканирование проводится методом черного ящика (black box) на базе и open source. Моделируя реальные атаки, анализатор выполнит более 100 видов проверок на уязвимости на вашем внешнем периметре. Проверка не повлияет на текущие процессы.
Вы поймете, какие сценарии могут реализовать злоумышленники, и сможете оценить потенциальные финансовые потери от кибератаки. Мы дополнительно проконсультируем вас, как укрепить слабые места и тем самым защитить бизнес от киберугроз.
Узнать больше и оставить заявку можно на официальном сайте OXYGEN.
