Кто такой пентестер

Что такое пентест и кто такой пентестер

Вы знали, что в 2020 году общая сумма финансовых потерь от киберпреступности в 2020 году составила один процент мирового ВВП? Это заставляет задуматься о том, насколько эффективны статические меры защиты информации, применяемые в различных организациях, и почему ущерб получился настолько большим. Одна из причин заключается в недостаточном понимании действий злоумышленника, и помочь в решении этой проблемы поможет пентест.

Пентест, или тестирование на проникновение – это метод анализа защищенности какого-либо объекта (например, внутренней сети организации, веб-приложения или сервера в сети Интернет) путем моделирования действий злоумышленников. Из определения следует механизм обеспечения безопасности – мы смотрим, каким образом производится кибератака, и затем исключаем векторы, через которые она была проведена. Если злоумышленник нашёл открытый порт на сервере и через него получил доступ к чувствительным файлам – закроем его, если использовал слабости используемого шифрования трафика и перехватил сессию легального пользователя – установим более совершенные криптографические алгоритмы.

Методы пентестинга

Существует несколько методологий проведения тестирования на проникновение. Давайте рассмотрим наиболее популярные.

OWASP – методология этой организации в большей степени направлена на анализ безопасности веб-приложений. Многие слышали про OWASP Top 10 – набор наиболее популярных угроз для веб-приложений. Методология содержит рекомендации в первую очередь по тестированию защищенности от этих угроз, и в меньшей степени рассматривает какие-либо экзотические варианты угроз, которые также имеют место.

OSSTMM – наиболее полная методология анализа защищенности. Она ориентируется на векторы влияния кибератаки и позволяет комплексно оценить влияние злоумышленников на безопасность человека, физической инфраструктуры, беспроводных и проводных сетей. Также методология уделяет большое внимание линиям телефонной связи, что по некоторым оценкам является устаревшим элементом.

NIST SP800-115 – ориентируется на этапы проведения пентеста и применяемые техники.

ISSAF – данный фреймворк в основном ориентируется на предметный подход – отдельно рассматривается, например, защита операционных систем и защита маршрутизаторов.

PTES является в некоторой степени комбинацией методологий от NIST и ISAAF – в методологии предусмотрены этапы пентеста и векторы атак на различные типы устройств-участников компьютерной сети.

Обычно люди, которые занимаются тестированиями на проникновение, применяют более одной методологии в проекте с целью покрыть наибольшее пространство исследования. В то же время каждый проект требует правильной интерпретации методологии и исключения лишних элементов, чтобы не выполнять лишнюю работу и не тратить лишнее время.

Все методологии имеют общие черты. Например, в каждом из рассмотренных выше стандартов применяются сходные этапы тестирования на проникновение.

  • сбор информации о целях;
  • подготовка к атаке;
  • осуществление проникновения;
  • работа в сети после проникновения;
  • составление отчета.

Конечно, данные этапы приведены в общем виде и, например, этап «работа в сети после проникновения» включает в себя большое количество операций, таких как закрепление доступа, повышение привилегий и сокрытие следов проникновения.

В целях оптимизации затрат на защиту информации организация может принять решение не проводить пентест абсолютно всей своей инфраструктуры. Например, проведение тестирования защищенности сайта в случае, когда организация не обладает существенной серверной инфраструктурой, связанной с сетью Интернет, вполне оправданно.

Требования по проведению тестирования на проникновения (пентеста)

Применительно к банковской сфере существуют требования по проведению ежегодного тестирования на проникновение. Так, данное требование есть в ГОСТ 57580.1-2017, что определяет необходимость его выполнения для кредитных финансовых организаций (Положение №683-П ЦБ РФ), некредитных финансовых организаций (Положение №684-П ЦБ РФ) и иных участников национальной платежной системы.

Вывод

Резюмируя вышесказанное, отвечаем на вопрос, кто такой пентестер. Это человек, способный проводить тестирование на проникновение. Это человек, знакомый с методологиями и с инструментами, с помощью которых осуществляются атаки. Но прежде всего, пентестер – это технический специалист в области защиты компьютерных сетей.

Аксенов Максим Валерьевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

Выполнение требований SWIFT

Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)

Подробнее

Оценка соответствия по 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее