Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Инвазивное обследование: кто такие пентестеры

Любая информационная система может содержать уязвимости. Особенно это касается крупных систем, в создании и доработке которых участвовало множество команд. Все ли части системы правильно и до конца настроены? Не осталось ли незакрытых рабочих учетных записей. Не было ли технологического упущения еще на этапе проектирования? На все эти вопросы поможет найти ответы пентест (от англ. Penetration test, pentest – тест на проникновение).

Цифры говорят сами за себя

~50% веб-приложений содержат уязвимости;

~129 дней уходит на исправление критической уязвимости;

56% доля систем с тривиальной сложностью преодоления сетевого периметра;

36% доля успешных атак с получением доступа к конфиденциальным данным.

По данным Application Security Statistics Report 2017 и Positive Technologies за 2016-2018 гг.

Как работает пентестер

Пентестер, используя стандартные и нестандартные инструменты, проверяет системы, которые будут в первую очередь подвергаться атакам, находит уязвимости и смотрит, какие возможности они открывают перед злоумышленниками. Эта работа похожа на действия хакеров, однако пентестеры не доводят дело до деструктивного воздействия. Вместо этого они обращают внимание заказчика на потенциальные «дыры» и помогают их закрыть. Компании и организации, которые всерьез опасаются потери данных или иного ущерба, понимают, что такая проверка поможет им лучше защитить свои системы.

Пентестеров было бы неправильно называть легальными или «белыми» хакерами, скорее они талантливые программисты и инженеры, профессионалы, которые отлично знают свои инструменты, с помощью которых проверяют системы на прочность.

В компаниях Softline и Infosecurity накоплена обширная экспертиза по пентестированию. Нам хорошо знакомы как стандартные инструменты и регламенты проверки на уязвимость, так и собственные приемы наработки, своеобразные ноу-хау.

Какие виды угроз часто находят пентестеры

  • Несвоевременное обновление ПО.
  • Уязвимые веб-приложения, например, для SQL-инъекций.
  • Незакрытые рабочие логины.
  • Порты в открытом доступе.

Только в 5% случаев пентестер не находит ни одной уязвимости.

Виды тестирования

Разные предметные области охватывают разные виды тестирования. Прежде всего, следует сказать о методах белого, серого и черного ящиков.

BLACK BOX
Пентестер воспроизводит действия внешнего злоумышленника, имеющего общее представление об атакуемом объекте из открытых источников.
GRAY BOX
Пентестер имитирует действия злоумышленника, обладающего знаниями об атакуемом объекте. Уровень и глубина знаний определяется заказчиком.
WHITE BOX
Пентестер обладает правами доступа администратора и имеет полное представление об инфраструктуре заказчика.

Чаще всего заказчики просят протестировать их именно методом черного ящика, так как он наиболее приближен к реальной ситуации.

Зачем заказчику пентест?

Часто мотивом, чтобы обратиться за тестированием на проникновение, становятся для заказчика требования регуляторов. Для организаций, которым требуется независимое подтверждение защищенности, пентест становится доказательством благонадежности перед проверяющими органами. Второй мотив – инциденты ИБ в прошлом. Третий – необходимость защищенного удаленного доступа сотрудников для удаленной работы.

А в отраслях, где от безопасности зависит жизнеспособность бизнеса, регулярное тестирование перед аудитом становится стандартом качества ИБ, своеобразным требованием «цифровой гигиены».

Области проведения пентеста

Внешний пентест и тестирование веб-приложений (Black, Gray box)

Это самый распространенный вид пентестов. Мы обследуем пул IP- или веб-адресов, используемых серверами компании, сканируем их и испытываем на прочность, исходя из знаний технологий атак.

  • Поиск в интернете сайтов заказчика и поддоменов.
  • Сканирование портов и определение служб, использующих их.
  • Идентификация используемого ПО и технологий.
  • Поиск и анализ уязвимостей приложения, входящих в классификацию OWASP.
  • Проведение атак, направленных на эксплуатацию уязвимостей (по согласованию с заказчиком).
  • Анализ результатов и подготовка рекомендаций.

Внутренний пентест информационных систем (Black, Gray box)

Второй по распространенности вид пентестирования. Пытаемся воспроизвести атаку во внутреннем контуре заказчика.

  • Подключение к пользовательскому сегменту сети.
  • Анализ трафика протоколов канального и сетевого уровней.
  • Физическое внедрение и инструментальное сканирование ресурсов внутренней сети.
  • Поиск уязвимостей на обнаруженных ресурсах.
  • Проведение сетевых атак и атак, эксплуатирующих уязвимости.
  • Получение локальных и доменных учетных записей.
  • Анализ результатов и подготовка рекомендаций.

Пентест точек доступа Wi-Fi (Black box)

Осуществляем внешнюю атаку через Wi-Fi.

  • Изучение характеристики и особенностей сетей Wi-Fi на объекте.
  • Проведение атак на аутентификацию и авторизацию в беспроводных сетях.
  • Получение ключей шифрования между клиентом и точкой доступа.
  • Проведение атак на аппаратное обеспечение сетей Wi-Fi.
  • Установка поддельной точки доступа Wi-Fi, проведение атак на клиентов сетей.
  • Обработка результатов и подготовка рекомендаций.

Социотехнический пентест (Black, Gray box)

Симулируем внешнюю атаку с использованием техник социальной инженерии.

  • Сбор данных об объекте и пользователях.
  • Подготовка провоцирующих данных.
  • Рассылка сообщений по электронной почте, через мессенджеры.
  • Личные звонки (телефон, Skype).
  • Общение через социальные сети.
  • Распространение носителей информации с провоцирующими данными.
  • Анализ результатов и проведение обучения.
  • Взлом паролей на сервисах личного использования и их подбор на корпоративных ресурсах.

Аудит сети (White box)

  • Инвентаризация сети.
  • Проверка актуальности версий ПО, ошибок конфигурации хостов и межсетевых экранов.
  • Поиск и анализ уязвимостей сетевых служб.
  • Проверка соответствия межсетевых экранов стандартам ИБ (PCI DSS, NIST, NERC и др.).
  • Определение модели атакующего, размещение его в интересующем сегменте сети.
  • Проведение сетевых атак (Spoofing, MiTM).
  • Построение векторов атак и подготовка плана для минимизации рисков ИБ.

Наши специалисты

Специалисты «Инфосекьюрити» и Softline постоянно повышают свою квалификацию. В «Инфосекьюрити» работает 4 сотрудника с редким профессиональным сертификатом OSCP.

OSCP – курс, разработанный компанией Offensive Security, один из немногих общепризнанных профессиональных сертификатов по проведению тестов на проникновение. Это редкий и сложный сертификат, который проходят немногие специалисты. Экзамен длится сутки, дается 6 стендовых машин, к 5 из которых надо получить полный доступ. Вторые сутки даются претенденту на написание отчета. Cпециалистов по пентестингу со статусом OSCP в России совсем немного, а в «Инфосекьюрити» уже 4 человека сдали этот экзамен.

Отчетность

Результатом пентеста становится отчет с рекомендациями по модернизации приложений, сетей, настроек серверов для закрытия существующих «дыр» в безопасности.

Пример реализации

КОМПАНИЯ «А»: 5000 сотрудников, 6 филиалов, 160 B2B-клиентов (крупных и средних  интернет-магазинов).

РЕЗУЛЬТАТЫ: Выявлено 12 уязвимостей с низким уровнем риска, 5 – со средним, 2 – с высоким. Самая критичная уязвимость – SQL-инъекция на веб-портале, которая позволяет злоумышленнику получить контроль над сервером баз данных. Даны рекомендации, как повысить защищенность системы с учетом всех выявленных уязвимостей.

МЕРОПРИЯТИЯ: Внешний пентест, включая тестирование веб-приложений методом «черного ящика».

СРОКИ: 25 рабочих дней.

НАШИ ПРЕИМУЩЕСТВА

  • Сертифицированные сотрудники (Pentestit, OSCP).
  • Гибкий подход: от обследования отдельных компонентов (Wi-Fi, сайт и т.д.) до комплексного обследования.
  • Опыт работы с разными компаниями: финансовыми, государственными, промышленными.
  • Использование собственных ноу-хау, высокотехнологичного аппаратного обеспечения и методологий.
Новости, истории и события
Смотреть все
Платформа для биллинга BillogicPlatform от «Инферит» (кластер «СФ ТЕХ» ГК Softline) поддержит отечественные ИИ-стартапы
Новости

Платформа для биллинга BillogicPlatform от «Инферит» (кластер «СФ ТЕХ» ГК Softline) поддержит отечественные ИИ-стартапы

11.09.2025

Разработчик ПО «Инферит ИТМен» (кластер «СФ ТЕХ» ГК Softline) вступил в Ассоциацию itSMF России
Новости

Разработчик ПО «Инферит ИТМен» (кластер «СФ ТЕХ» ГК Softline) вступил в Ассоциацию itSMF России

10.09.2025

Группа «Борлас» (ГК Softline) и компания «Фидесис» организуют первую специализированную практическую конференцию пользователей CAE Fidesys «CAE Day 2025»
Новости

Группа «Борлас» (ГК Softline) и компания «Фидесис» организуют первую специализированную практическую конференцию пользователей CAE Fidesys «CAE Day 2025»

09.09.2025

Группа «Борлас» (ГК Softline) заключила партнерское соглашение с компанией CS Group, одним из ведущих интеграторов инновационных решений для цифровизации промышленности и строительства
Новости

Группа «Борлас» (ГК Softline) заключила партнерское соглашение с компанией CS Group, одним из ведущих интеграторов инновационных решений для цифровизации промышленности и строительства

09.09.2025

Вышло масштабное обновление «Цитрос Архива» от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Вышло масштабное обновление «Цитрос Архива» от SL Soft FabricaONE.AI (акционер — ГК Softline)

09.09.2025

Компания Bell Integrator FabricaONE.AI (акционер — ГК Softline) разработала решение по мониторингу радиоэфира для одного из российских медиахолдингов
Новости

Компания Bell Integrator FabricaONE.AI (акционер — ГК Softline) разработала решение по мониторингу радиоэфира для одного из российских медиахолдингов

08.09.2025

«Телеком биржа» автоматизировала биллинг и провижининг облачных услуг через BillogicPlatform от «Инферит» (кластер «СФ ТЕХ» ГК Softline)
Новости

«Телеком биржа» автоматизировала биллинг и провижининг облачных услуг через BillogicPlatform от «Инферит» (кластер «СФ ТЕХ» ГК Softline)

08.09.2025

ГК Softline и FESCO будут совместно развивать цифровые решения для логистики
Новости

ГК Softline и FESCO будут совместно развивать цифровые решения для логистики

05.09.2025

«Софтлайн Решения» (ГК Softline) предоставила «Детскому миру» оборудование по модели HaaS
Новости

«Софтлайн Решения» (ГК Softline) предоставила «Детскому миру» оборудование по модели HaaS

04.09.2025

Proteqta (ГК Softline) повысила уровень производственной безопасности в «Галс-Девелопмент» с помощью IoT-решения
Новости

Proteqta (ГК Softline) повысила уровень производственной безопасности в «Галс-Девелопмент» с помощью IoT-решения

03.09.2025

«Софтлайн Решения» (ГК Softline) обеспечила EdTech-компанию платформой UEMaaS
Новости

«Софтлайн Решения» (ГК Softline) обеспечила EdTech-компанию платформой UEMaaS

02.09.2025

Новый учебный год на рынке корпоративного обучения. Академия АйТи FabricaONE.AI (акционер - ГК Softline) подводит итоги и рассказывает о планах
Новости

Новый учебный год на рынке корпоративного обучения. Академия АйТи FabricaONE.AI (акционер - ГК Softline) подводит итоги и рассказывает о планах

01.09.2025

«Клиент 360», универсальный установщик — обновления продуктов Citeck от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

«Клиент 360», универсальный установщик — обновления продуктов Citeck от SL Soft FabricaONE.AI (акционер — ГК Softline)

01.09.2025

«Инферит» (кластер «СФ ТЕХ» ГК Softline) и Новосибирский национальный исследовательский государственный университет заключили соглашение о сотрудничестве в сфере искусственного интеллекта
Новости

«Инферит» (кластер «СФ ТЕХ» ГК Softline) и Новосибирский национальный исследовательский государственный университет заключили соглашение о сотрудничестве в сфере искусственного интеллекта

01.09.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck

29.08.2025

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности
Новости

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности

29.08.2025

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами
Новости

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами

28.08.2025

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции
Новости

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции

27.08.2025

Аренда серверного оборудования vs собственная инфраструктура: сравниваем экономику
Блог

Аренда серверного оборудования vs собственная инфраструктура: сравниваем экономику

12.09.2025

Топ лучших ноутбуков 2025 года для дома и офиса
Блог

Топ лучших ноутбуков 2025 года для дома и офиса

09.09.2025

Резервное копирование: ключевые параметры бэкапа и топ российских систем
Блог

Резервное копирование: ключевые параметры бэкапа и топ российских систем

03.09.2025

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году
Блог

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году

25.08.2025

Российские операционные системы. Топ отечественных ОС 2025
Блог

Российские операционные системы. Топ отечественных ОС 2025

21.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025