Cервисы
Managed IT
Решения
Security
Импортозамещение
О компании

Тестирование на проникновение

Тестирование на проникновение (пентест) — целевая имитация кибератаки на ИТ-инфраструктуру, которую проводят специалисты по ИБ для оценки уровня ее информационной безопасности.

Цель пентеста — выявить угрозы и уязвимости, которыми может воспользоваться злоумышленник, например, для кражи данных, и сформировать подробный отчет с рекомендациями по их устранению и повышению уровню ИБ компании.

Этапы пентеста

Планирование и разведка. Определение масштаба и целей пентеста, сбор необходимых данных и определение систем, которые необходимо протестировать.

Сканирование. Использование автоматизированных инструментов, чтобы понять, как система реагирует на различные попытки вторжения.

Получение доступа. Использование уязвимостей, которые обнаружены на предыдущем этапе, и попытки взлома системы.

Поддержание доступа. Проверка, можно ли использовать уязвимость для достижения постоянного присутствия в системе.

Анализ. Анализ результатов, формирование отчета с обнаруженными угрозами и  уязвимостями и рекомендациями по их устранению.

Разновидности тестирования на проникновение

Тестирование на проникновение можно разделить на три основных типа, каждый из которых характеризуется разной степенью знаний о системе и разным уровнем раскрытия информации.

Тестирование «черного ящика». У пентестера нет никаких предварительных знаний о системе, поэтому он имитирует атаку внешнего хакера.

Тестирование «белого ящика». Пентестер обладает полными знаниями о системе, чтобы провести всестороннее и тщательное тестирование.

Тестирование «серого ящика». Пентестер имеет частичные знания о системе. Такая проверка имитирует атаку со стороны привилегированного пользователя.