Пен-тест или Аудит безопасности: не очевидное сравнение

Тестирование на проникновение (анг. penetration testing) часто ассоциируют с проведением аудита информационной безопасности для компьютерных систем. Кто то считает эти термины синонимами, другие же специалисты видят в них совершенно разные определения. В итоге все это приводит лишь к путанице. Сегодня в статье мы попытаемся навести порядок и расставить все по своим местам.

Знаменитое и ставшее уже обыденностью в устах специалистов ИБ слово “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант  звучит как “penetration testing“.

Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников”. По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)

Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас говорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.

Разницу между “пентестом” и “аудитом” объяснить достаточно просто.

Аудит информационной безопасности начинается с анализа рисков и угроз информационной безопасности. Он призван выявлять наиболее опасные угрозы с точки зрения системы защиты. Аудит должен дать вразумительный ответ на вопрос “если где-нибудь взломают защиту, то где будет больнее всего для бизнеса?”. Именно эти места “залатывают” в первую очередь.

Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача - ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.

К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение - необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно - его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей - сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.

Именно здесь кроется самая большая ошибка - настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.

Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс - настоящий state of the art. Да еще и весьма трудоемкий - ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.