Методики тестирования для определения уязвимостей

Современные компании уделяют массу внимания вопросам кибербезопасности. Угрозы хакерских атак нельзя игнорировать, ведь они способны принести компании серьезные убытки.

Самый эффективный способ не допустить взлома системы – взглянуть на нее глазами хакера и обнаружить слабые места раньше, чем это сделают злоумышленники. С этой целью проводится особый Security testing, который называется пентест. Специалисты симулируют действия опытного хакера, чтобы попытаться взломать систему и понять, какие точки нуждаются в дополнительной защите.

Методы тестирования

Пентест может проводиться одним из трех доступных методов:

1. Черный ящик. Это метод проведения пентеста, полностью имитирующий атаку хакеров, которые ничего не знают о компании, кроме ее названия и официального сайта. Заказчик не должен предоставлять никакие сведения об IT-инфраструктуре, реализованной в исследуемой компании. Все дополнительные данные специалисты будут добывать самостоятельно из различных источников, т.е. поступят именно так, как повел бы себя настоящий хакер. Преимущества данного метода заключаются в реалистичности смоделированной таким образом ситуации взлома. Но есть и минус. Злоумышленники, планирующие атаку на компанию, готовятся к этому в течение продолжительного времени, проводят разведку. Пентестеры же вынуждены действовать в границах жестких временных рамок и не имеют возможности должным образом подготовиться к атаке.
2. Белый ящик. Этот метод является противоположностью предыдущего. Для проведения подобного тестирования заказчик предоставляет специалистам большой объем информации: сведения об инфраструктуре, доступ к серверам и прочие данные, которые могут пригодиться в процессе тестирования. Сотрудники компании-заказчика уведомляются о проведении тестирования системы. Такой пентест является своего рода независимым аудитом системы безопасности. В ходе такого исследования специалисты обнаруживают максимальное количество угроз, ведь им не приходится заниматься сбором информации, они полностью посвящают рабочее время проведению теста. Таким образом, данный метод тестирования является наиболее результативным, хотя и не слишком похожим на реальную атаку хакеров.
3. Серый ящик. Это универсальный метод тестирования, объединяющий достоинства предыдущих. В ходе тестирования заказчик сообщает специалистам небольшой объем информации. Таким образом, пентестеры не тратят время на сбор сведений, а их действия приближены к реальной хакерской атаке.