Открыть сервис

Пентест

Пентест (от англ. penetration test — тест на проникновение) — это легитимная симулированная кибератака на компьютерную систему, сеть или веб-приложение, выполняемая с целью выявления уязвимостей, которые могут быть использованы злоумышленниками. Пентест проводится уполномоченными специалистами (этичными хакерами) по согласованию с владельцем системы и в рамках заранее оговоренных правил. Результатом пентеста является оценка уровня защищённости, перечень найденных брешей и рекомендации по их устранению.

Цели и задачи

Основная цель пентеста — не просто найти уязвимости, а оценить, насколько реальная атака может быть опасна для бизнеса или организации. В отличие от автоматического сканирования уязвимостей (VA — Vulnerability Assessment), пентест имитирует действия реального злоумышленника, используя комбинацию автоматизированных и ручных методов.

Ключевые задачи пентеста:

Классификация пентестов

Пентесты классифицируются по степени информированности атакующего о целевой системе и по типу атаки (внешняя или внутренняя).

По уровню знаний об объекте

ТипОписание
Black Box (чёрный ящик)Специалист не имеет никакой информации о системе, кроме названия компании или IP-адреса. Тест максимально приближен к атаке внешнего злоумышленника, но требует больше времени и ресурсов.
White Box (белый ящик)Специалисту предоставляется полная информация: архитектура сети, исходный код приложений, схемы интеграций, учётные записи с минимальными правами. Это самый глубокий и быстрый тип теста, позволяющий обнаружить сложные логические ошибки.
Grey Box (серый ящик)Комбинированный подход: пентестер получает ограниченные сведения (например, доменное имя или доступ к одному из внутренних серверов). Имитирует атаку инсайдера или партнёра, имеющего частичный доступ.

По направлению атаки

Методология и этапы проведения

Процесс пентеста, как правило, следует общепринятым стандартам, таким как PTES (Penetration Testing Execution Standard) или OWASP Testing Guide (для веб-приложений).

  1. Планирование и разведка (Reconnaissance):
  1. Сканирование (Scanning):
  1. Получение доступа (Gaining Access):
  1. Поддержание доступа (Maintaining Access):
  1. Анализ и отчётность (Analysis & Reporting):

Инструменты пентеста

Современный арсенал пентестеров включает сотни инструментов. Наиболее популярные:

Отличие пентеста от других видов оценки безопасности

Пентест часто путают с аудитом безопасности или сканированием уязвимостей. Ключевые отличия:

Юридические и этические аспекты в России

В Российской Федерации проведение пентеста без письменного разрешения владельца системы является уголовно наказуемым деянием (ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»).

Для законного проведения пентеста необходимо:

  1. Заключение договора между заказчиком и исполнителем с чётким описанием объёма, границ (scope) и правил взаимодействия (RoE).
  2. Соблюдение требований Федерального закона №152-ФЗ «О персональных данных» (обработка данных должна происходить в строгом соответствии с законом, не допускается утечка реальных данных клиентов).
  3. В некоторых случаях — уведомление уполномоченных органов (Роскомнадзор, ФСТЭК России) о проведении тестов, если объект является объектом критической информационной инфраструктуры (КИИ).
  4. Полное исключение действий, которые могут причинить ущерб бизнесу (перегрузка системы, удаление данных), если это не оговорено отдельно.

Этический кодекс пентестера подразумевает неразглашение найденных уязвимостей третьим лицам (ответственное раскрытие), использование полученного доступа только в рамках согласованного теста и полное удаление всех созданных во время пентеста артефактов (пользователей, сервисов, файлов).

Критика и ограничения

Несмотря на высокую эффективность, пентест имеет ряд недостатков:

Несмотря на это, пентест остаётся одним из наиболее надёжных способов проверки реальной защищённости информационной системы.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →