Тестирование на проникновение (анг. penetration testing) часто ассоциируют с проведением аудита информационной безопасности для компьютерных систем. Кто то считает эти термины синонимами, другие же специалисты видят в них совершенно разные определения. В итоге все это приводит лишь к путанице. Сегодня в статье мы попытаемся навести порядок и расставить все по своим местам.
Знаменитое и ставшее уже обыденностью в устах специалистов ИБ слово “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант звучит как “penetration testing“.
Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников”. По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)
Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас говорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.
Разницу между “пентестом” и “аудитом” объяснить достаточно просто.
Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача - ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.
К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение - необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно - его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей - сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.
Именно здесь кроется самая большая ошибка - настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.
Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс - настоящий state of the art. Да еще и весьма трудоемкий - ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.