Что такое пентест сайта?

Что такое пентест сайта?

Любая информационная система содержит уязвимости. Особенно это касается крупных систем, в создании и доработке которых участвовало множество команд.

Наиболее важные вопросы, которые волнуют руководство компании:

  • правильность настройки всех систем;
  • безопасность всех рабочих учетных записей;
  • целостность и устойчивость систем.

На все эти вопросы поможет найти ответы пентест (от англ. Penetration test, pentest – тест на проникновение) или иными словами анализ системы на наличие уязвимостей. Это метод оценки безопасности информационной системы путем моделирования атаки злоумышленников.

Пентест ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.

Основная цель этого анализа – обнаружить основные уязвимости и ошибки способные привести к плачевным последствиям, начиная с нарушения конфиденциальности информации, заканчивая прогнозом финансовых и экономических рисков.

Немного статистики по проблемам защиты информации:

  • ~50% веб-приложений содержат уязвимости;
  • ~129 дней уходит на исправление критической уязвимости;
  • 56% доля систем с тривиальной сложностью преодоления сетевого периметра;
  • 36% доля успешных атак с получением доступа к конфиденциальным данным.

По данным Application Security Statistics Report 2017 и Positive Technologies за 2016-2018 гг.

Как же осуществляется работа специалиста по пентентесту? Пентестер, используя стандартные и нестандартные инструменты, проверяет системы, которые будут в первую очередь подвергаться атакам, находит уязвимости и смотрит, какие возможности они открывают перед злоумышленниками. Эта работа похожа на действия хакеров, однако пентестеры обращают внимание заказчика на потенциальные «дыры» и помогают их закрыть. Компании и организации, которые всерьез опасаются потери данных или иного ущерба, понимают, что такая проверка поможет им лучше защитить свои системы.

Наиболее часто встречающиеся угрозы:

  • несвоевременное обновление программного обеспечения;
  • уязвимые веб-приложения, например, для SQL-инъекций;
  • незащищенный рабочий логин;
  • незащищенные порты в открытом доступе.

Согласно статистике, только в 5% случаев угрозы не обнаруживаются, все системы стабильно работают и защищены.

Часто основным мотивом, чтобы обратиться за тестированием на проникновение, становятся для заказчика требования регуляторов. Для организаций, которым требуется независимое подтверждение защищенности, пентест становится доказательством благонадежности перед проверяющими органами. Второй мотив – инциденты с нарушением информационной безопасности в прошлом. Третий – необходимость защищенного доступа сотрудников для удаленной работы. В отраслях, где от безопасности зависит жизнеспособность бизнеса, регулярное тестирование перед аудитом становится стандартом качества ИБ, своеобразным требованием «цифровой гигиены».

Результатом пентеста становится отчет с рекомендациями по модернизации приложений, сетей, настроек серверов для закрытия существующих пробелов в безопасности систем.

Если у вас остались вопросы или хотите заказать пентест своей системы, обращайтесь к нам.