Сергей Полунин: В современном мире уже невозможно представить бизнес, который не использует компьютерные технологии. Множество бизнес-процессов в компаниях опираются на цифровизацию и информационные системы. В основе всего этого лежит ИТ-инфраструктура. Поэтому, устойчивость ИТ-инфраструктуры становится одной из самых критически важных задач для специалистов по информационной безопасности.
Дмитрий Овчинников: Произвести оценку степени защищенности можно разными методами — начиная от анализа правильности настроек средств информационной безопасности и закачивая полноценным и всесторонним аудитом, составной частью которого является тестирование на проникновение. Его, кстати, можно применять как полностью независимый способ оценки уровня защищенности.
Тестирование на проникновение или пентест — это метод оценки защищенности информационной системы путем имитации попытки ее взлома специалистом соответствующей квалификации.
Важно отметить, что пентест — это не только востребованная во всем мире практика, но требование регуляторов. Например, Центральный Банк России требует от финансовых организаций проводить регулярные пентесты.
Сергей Полунин: Есть разные сценарии выполнения тестов на проникновение. Наиболее часто используемый — это проведение внешнего пентеста, когда специалисты пытаются взломать инфраструктуру заказчика через сеть Интернет. В этом случае для начала работы необходимо знать только точку входа. Существуют также и внутренние пентесты, когда специалисты имитируют действия инсайдеров, или различные сценарии с использованием методов социальной инженерии. В любом случае для каждого клиента или ситуации сценарий для тестирования на проникновение может быть особенным.
Дмитрий Овчинников: В зависимости от объекта защиты и требований заказчика для пентеста могут быть использованы различные методологии. Однако большинство из них включает в себя следующие этапы проведения пентеста: сбор информации, моделирование угрозы, анализ уязвимостей, эксплуатация выявленных уязвимостей и пост эксплуатация.
Сергей Полунин: После пентеста обязательно разрабатывается отчет, где для технических специалистов заказчика описываются обнаруженные угрозы, как именно они были найдены и результаты их эксплуатации с оценкой потенциального ущерба. Обычно, для руководства компании разрабатывается отдельный раздел, где отображается общее состояние системы и важные детали для совершенствования средств информационной безопасности.
Необходимо понимать, что результаты пентеста не могут быть отрицательными. Даже если специалисты не нашли уязвимостей, они могут появиться на следующий день или через неделю. Поэтому важно регулярно тестировать свою ИТ-инфраструктуру таким образом, чтобы обеспечить непрерывное поддержание защищенности на всем протяжении жизненного цикла информационных систем.