Добавить в корзинуПозвонить
Найти в Дзене
ООО «Рубикон». Комплексные ИБ-решения
385 подписчиков

Тестирование на уязвимость ИБ

25
3 мин
Пентест (англ. Pentest, penetration test) – это моделирование атаки злоумышленника для выявления уязвимых мест в информационной безопасности с дальнейшим планированием мероприятий по их устранению, чтобы повысить уровень защищенности. В этой статье расскажем, кому нужна услуга пентеста, какие требования к пентестерам и коротко об этапах работы. Для кого пентест В целом, тестирование на проникновение необходимо для проверки уровня безопасности ИТ-инфраструктуры любой организации. Этот метод используется как для полного анализа всей инфраструктуры, так и для обнаружения уязвимостей её отдельных составляющих, вплоть до отдельных программных продуктов. Особенно важно проводить тестирование на проникновение для объектов КИИ (подробнее о защите КИИ в нашей статье), а банкам и финансовым организациям это обязательно согласно положениям Банка России 382-П, 683-П, 719-П, 757-П). Хороший пентестер Качественно оказанные услуги зависят не от наличия профильного образования у специалистов, а прежде
Оглавление

Пентест (англ. Pentest, penetration test) – это моделирование атаки злоумышленника для выявления уязвимых мест в информационной безопасности с дальнейшим планированием мероприятий по их устранению, чтобы повысить уровень защищенности.

В этой статье расскажем, кому нужна услуга пентеста, какие требования к пентестерам и коротко об этапах работы.

Для кого пентест

В целом, тестирование на проникновение необходимо для проверки уровня безопасности ИТ-инфраструктуры любой организации. Этот метод используется как для полного анализа всей инфраструктуры, так и для обнаружения уязвимостей её отдельных составляющих, вплоть до отдельных программных продуктов.

Особенно важно проводить тестирование на проникновение для объектов КИИ (подробнее о защите КИИ в нашей статье), а банкам и финансовым организациям это обязательно согласно положениям Банка России 382-П, 683-П, 719-П, 757-П).

Хороший пентестер

Качественно оказанные услуги зависят не от наличия профильного образования у специалистов, а прежде всего от навыков и опыта работы.

Примерные требования к навыкам специалиста по пентесту:

— опыт администрирования серверов;

— знание сетевых протоколов, технологий защиты, а так же основные сетевые уязвимости;

— понимание работы веб-протоколов, а так же их основных уязвимостей;

— знание рынка продуктов информационной безопасности;

— понимание технологий защиты информации;

— опыт работы со специализированным программным обеспечением;

— знание методологий вроде OWASP, PCI-DSS и т.д.;

— опыт разработки на языках программирования (Python, C, PHP или другие);

— знание хотя бы технического английского языка.

Пентестер должен не просто протестировать объект, но доступно ответить заказчику на вопросы по проведению тестирования на проникновение, сформировать отчет с рекомендациями по модернизации системы защиты информации.

Найти такого универсального сотрудника проблематично, поэтому выгоднее привлечь к работам компанию. Там будет выше квалификация сотрудников, больше и разнообразнее (из-за разных сфер клиентов) опыт работы и кейсы. Компании следят за своей репутацией, поэтому качество работы их специалистов чаще всего на уровне.

Как проходит пентест

Подробнее о том, как проходит пентест, вы можете прочитать в разделе наших услуг. Здесь лишь коротко выделим этапы.

  1. Сбор данных о заказчике в открытых источниках, о допусках сотрудников.
  2. Сбор данных о техническом и программном оснащении.
  3. Анализ уязвимостей и угроз.
  4. Имитация реальной атаки злоумышленников для получения сведений об уязвимостях.
  5. Формирование отчета.

Отчет по итогам пентеста включает в себя перечень выявленных уязвимостей, ошибок в работе средств защиты с подробным описанием их причин, вероятность появления этих ошибок и их последствий, оценкой критичности и расчет возможных экономических потерь, а так же рекомендации решений для устранения пробелов в ИБ организации.

Подготовка ТЗ для пентеста

Хорошо, если заказчик понимает для каких целей он заказывает услугу пентеста и может составить техническое задание (ТЗ) так, чтобы у исполнителя возникло меньше вопросов. Это в первую очередь сокращает время на подготовку.

В ТЗ важно отразить следующие вопросы:

— объекты, выделенные для тестирования;

— сроки проведения работ;

— виды нарушений, которые необходимо исключить;

— способы доступа к объектам;

— ответственное лицо со стороны заказчика и его контакты, с которым держит контакт исполнитель.

При подготовке техзадания рекомендуем опираться на Указ Президента от 01.05.2022 № 250 и типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры.

Основные аспекты Указа № 250, которые стоит учесть:

  1. Наличие ответственного лица не ниже должности заместителя руководителя, а так же отдела или службы по информационной безопасности.
  2. Для мероприятий по тестированию привлекать лицензированные во ФСТЭК и ФСБ организации.

Заказчик издает также соответствующее разрешение на проведение работ с указанием курирующих со стороны заказчика лиц и описанием разрешенных работ и допусков.

Заключение

Регулярность проведения пентеста, конечно, пока еще не достигла того уровня, который мог бы обеспечивать максимальную безопасность организаций. По данным из различных источников непрерывно проверяют свою инфраструктуру до 52% компаний. Остальные обращаются за такой услугой или вводят в штат специалистов после инцидентов ИБ или уведомлений от регуляторов о необходимости проведения пентеста. Ну, или делают это когда захочется, а ведь могут и не успеть. Несовершенство системы защиты информации организации может привести и к банкротству.

Предупредите реальные хакерские атаки. Обращайтесь к нам за услугой пентеста. Мы поможем найти слабые места в вашей системе защиты информации,  а также сохранить репутацию надежной компании.


Источник: https://rcngroup.ru/blog/testirovanie-na-ujazvimost-ib/

Гаджеты и электроника
5,73 млн интересуются