Любая информационная система содержит уязвимости. Особенно это касается крупных систем, в создании и доработке которых участвовало множество команд.
Наиболее важные вопросы, которые волнуют руководство компании:
- правильность настройки всех систем;
- безопасность всех рабочих учетных записей;
- целостность и устойчивость систем.
На все эти вопросы поможет найти ответы пентест (от англ. Penetration test, pentest – тест на проникновение) или иными словами анализ системы на наличие уязвимостей. Это метод оценки безопасности информационной системы путем моделирования атаки злоумышленников.
Пентест ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.
Основная цель этого анализа – обнаружить основные уязвимости и ошибки способные привести к плачевным последствиям, начиная с нарушения конфиденциальности информации, заканчивая прогнозом финансовых и экономических рисков.
Немного статистики по проблемам защиты информации:
- ~50% веб-приложений содержат уязвимости;
- ~129 дней уходит на исправление критической уязвимости;
- 56% доля систем с тривиальной сложностью преодоления сетевого периметра;
- 36% доля успешных атак с получением доступа к конфиденциальным данным.
По данным Application Security Statistics Report 2017 и Positive Technologies за 2016-2018 гг.
Как же осуществляется работа специалиста по пентентесту? Пентестер, используя стандартные и нестандартные инструменты, проверяет системы, которые будут в первую очередь подвергаться атакам, находит уязвимости и смотрит, какие возможности они открывают перед злоумышленниками. Эта работа похожа на действия хакеров, однако пентестеры обращают внимание заказчика на потенциальные «дыры» и помогают их закрыть. Компании и организации, которые всерьез опасаются потери данных или иного ущерба, понимают, что такая проверка поможет им лучше защитить свои системы.
Наиболее часто встречающиеся угрозы:
- несвоевременное обновление программного обеспечения;
- уязвимые веб-приложения, например, для SQL-инъекций;
- незащищенный рабочий логин;
- незащищенные порты в открытом доступе.
Согласно статистике, только в 5% случаев угрозы не обнаруживаются, все системы стабильно работают и защищены.
Часто основным мотивом, чтобы обратиться за тестированием на проникновение, становятся для заказчика требования регуляторов. Для организаций, которым требуется независимое подтверждение защищенности, пентест становится доказательством благонадежности перед проверяющими органами. Второй мотив – инциденты с нарушением информационной безопасности в прошлом. Третий – необходимость защищенного доступа сотрудников для удаленной работы. В отраслях, где от безопасности зависит жизнеспособность бизнеса, регулярное тестирование перед аудитом становится стандартом качества ИБ, своеобразным требованием «цифровой гигиены».
Результатом пентеста становится отчет с рекомендациями по модернизации приложений, сетей, настроек серверов для закрытия существующих пробелов в безопасности систем.
Если у вас остались вопросы или хотите заказать пентест своей системы, обращайтесь к нам.