Пентест (тестирование на проникновение) - один из самых точных способов понять реальный уровень защищенности компании.
Но есть нюанс: без подготовки даже хороший пентест может дать поверхностный результат. Чтобы получить максимальную пользу, важно заранее определить цели, риски и формат работ. Этот чек-лист поможет подготовиться к пентесту и выбрать подрядчика без ошибок.
Что такое пентест и зачем он нужен
Пентест - это имитация реальной атаки на инфраструктуру компании с целью выявить уязвимости до того, как их найдут злоумышленники.
В отличие от сканеров уязвимостей, пентест:
- проверяет эксплуатируемость уязвимостей
- показывает реальные сценарии атаки
- оценивает бизнес-риски, а не только технические проблемы
- предлагает план усиления ИБ на основе реальных доказательств
Шаг 1: определить недопустимые события
Начинать нужно не с технологий, а с бизнеса.
Недопустимые события - это то, что компания не может позволить себе ни при каких условиях. Именно от этих событий зависит, что и как нужно тестировать.
Приведем примеры для разных отраслей:
Банковский сектор
- несанкционированный доступ к счетам клиентов
- утечка персональных и платежных данных
- подмена реквизитов платежей
- остановка дистанционного банковского обслуживания
Государственный сектор
- утечка персональных данных граждан
- компрометация государственных информационных систем
- нарушение доступности критичных сервисов (ГИС, порталы услуг)
Интернет-торговля (e-commerce)
- кража данных банковских карт и компрометация учетных записей пользователей
- подмена заказов или цен, «внезапные» распродажи
- недоступность сайта в период пиковых продаж
Промышленность (включая АСУ ТП)
- остановка производственного процесса
- вмешательство в технологические процессы
- повреждение оборудования
- утечка технологической документации
- экологический ущерб и социальные последствия
Шаг 2: определить вид и объекты тестирования
Пентест бывает разным, и важно выбрать тот, который соответствует вашим рискам.
Внешний пентест проверяет, что видит злоумышленник «с улицы»: внешний периметр, веб-приложения, мобильные приложения, средства удаленного доступа (VPN, RDP), Wi-Fi за пределами контролируемой зоны
Внутренний пентест проверяет, что произойдет, если злоумышленник уже внутри: серверы и сетевое оборудование, системы виртуализации, корпоративные сервисы (почта, файловые хранилища, ЭДО),ERP, CRM, BI-системы, элементы технологических сетей, средства защиты информации
Шаг 3: социальная инженерия как обязательное дополнение
Если пентест ищет технические уязвимости, то социальная инженерия - человеческие.
Социнженерия – это совокупность методов и приемов психологического манипулирования людьми с целью получения доступа к информационной системе, конфиденциальной информации и возможности совершить прочие неправомерные действия в интересах злоумышленника
Она включает:
- фишинговые учения (рассылки с целью выманить данные)
- вишинг (телефонные атаки)
Фишинг- и вишинг-тесты позволяют:
- Проверить, умеют ли сотрудники распознавать социнженерию
- Узнать, как реагируют на реальные сценарии атак
- Понять степень риска взлома через % попавшихся на социнженерию
- Оценить риски trusted relationship (письма от «своих» давних и «проверенных» подрядчиков)
- Выявить слабые места в процессах, о которых хакеры тоже могут узнать
Шаг 4: выбрать модель тестирования
От модели зависит глубина и реалистичность проверки.
Black Box - пентестер знает только название компании. Эта модель исследования максимально приближена к реальной атаке, но не является всеобъемлющей проверкой.
Grey Box – у пентестера есть частичная информация (например, учетная запись или архитектура).
White Box дает исследователю полную информацию о системе, что позволяет исчерпывающе проверить безопасность.
Также возможны:
- комбинированные сценарии
- Red Team (атакующие)
- Red vs Blue Team (атака против защиты компании)
Шаг 5: определить модель нарушителя
Важно понять, кого именно вы моделируете.
Внешний нарушитель, как правило, не имеет доступа в систему и действует только извне
Внутренний нарушитель
Сценарий 1: имеет физический доступ, но нет учетных данных.
Сценарий 2: имеет базовый доступ (например, сотрудник или подрядчик).
Сценарии внутренних нарушителей очень важны, потому что реальные атаки происходит именно через внутренний доступ. Читать кейс тестирование на проникновение банка, где угроза инсайдера как раз подтвердилась.
Как выбрать подрядчика по анализу защищенности и не ошибиться
Хороший подрядчик по пентесту - это залог успеха. На что обратить внимание:
- Лицензии и экспертиза
- наличие лицензии ФСТЭК на ТЗКИ
- наличие реально работающего SOC
- Прозрачность до начала работ
Чтобы вы знали, чего ожидать, подрядчик готов:
- провести бесплатный OSINT и в целом рассказать вам, что о вас можно найти в сети
- показать пример обезличенного отчета
- Квалификация команды
Наличие сертификатов OSCP, OSEP, OSWE, OSED, OSEE, CEH, CompTIA PenTest+
- Релевантный опыт
Важно, чтобы подрядчик:
- работал с вашей отраслью
- имел опыт проектов сопоставимого масштаба и готов был им поделиться, не нарушая NDA
Итог: как получить максимум от пентеста
Хороший пентест - это не просто исчерпывающий отчет для ИТ/ИБ и руководства, а инструмент принятия решений и предотвращения бизнес-рисков. Он может и должен ответить на три вопроса:
- где у вас реальные уязвимости
- как их могут использовать
- к каким бизнес-рискам это приведет
Оставьте заявку на консультацию в Макс - обсудим нюансы вашей инфраструктуры, предложим план тестирования вашей компании, согласуем детали. Без формальностей и лишних опций – только то, что действительно повысит реальный уровень безопасности бизнеса.