icon-star icon-cart icon-close icon-heart icon-info icon-pause icon-play icon-podcast icon-question icon-refresh icon-tile icon-users icon-user icon-search icon-lock icon-comment icon-like icon-not-like icon-plus article-placeholder article-plus-notepad article-star man-404 icon-danger icon-checked icon-article-edit icon-pen icon-fb icon-vk icon-tw icon-google
Макс Федоров
Техника и Интернет

Что такое пентест?

  • 3611
  • 9

Что такое пентест?

С
С развитием информационных технологий жизнь современного человека стала с ними неразрывно связана, а сети и системы превратились в мощные инструменты любой деятельности. И чем важнее и существеннее область деятельности, чем больший объем важных данных скрывают её инструменты, чем сложнее архитектура, тем большую роль в ней играют вопросы информационной безопасности. Поэтому неизбежно возникают новые методы для защиты крупных систем (будь то информационный ресурс, корпоративная сеть или распределенная реализация программного обеспечения).

Одним из наиболее ярких методов в арсенале специалистов по компьютерной безопасности является тестирование на проникновение, penetration testing или пентест. Его суть состоит в том, что информационный объект, который нужно защитить, подвергается атаке, целью которой является взлом, похищение информации, заражение вредоносным кодом и другие деструктивные действия. Процесс этот довольно эффектен, исполнитель должен обладать навыками настоящего хакера и необходимыми инструментами для взлома. Ниша услуг по пентесту мала по сравнению с нишей разработки и внедрения информационных систем, поэтому исполнители очень востребованы на рынке, и их профессионализм стоит очень дорого. На данный момент область успешно развивается, внутри неё работают самые грамотные специалисты. Сложилась и своя методология, которая подробно изложена, например, в документах Open Source Security Testing Methodology Manual или Open Web Application Security Project, которые доступны публично. Пентест является не только услугой, к которой прибегают для аудита готовых реализаций, но иногда и полноценным (наряду с тестированием) этапом разработки программной архитектуры.

В случае успешного взлома полученная техническая информация, которая и является результатом пентеста, предоставляется специалистам, которые отвечают за безопасность объекта. Они стараются устранить пути, которыми пентестер проник в систему, исправить найденные уязвимости. Это может многократно повысить уровень обеспечения безопасности и общую надежность информационной системы за счет урезания возможностей для потенциальных злоумышленников, ведь существует огромная вероятность, что они будут вести атаку этими же методами и использовать существующие уязвимости.

Тесты на проникновение часто сопоставляют с комплексным анализом защищенности, который выполняется при помощи специального программного обеспечения и может предоставить большой объем полезных данных. Пентест часто критикуют как раз за недостаточность информации и отсутствие полноты анализа, потому что все уязвимости можно и не найти, а если пентестер не смог взломать систему, не факт что её не взломает злоумышленник. И, тем не менее, тестирование на проникновение остается качественным и эффективным методом совершенствования информационной безопасности и позволяет объективно оценить уровень защищенности цели.

deb
Олеся Белоброва

Интересный материал, качественно написан. Люблю такие статьи: вступление касательно темы, освещение темы и завершенность. Все правильно. Вам +++

deb
Сандра  Бойко

Оч. хорошо. Максим, интересный и информативный текст. Плюс.

Вам необходимо или зарегистрироваться, чтобы оставлять комментарии
выбор читателя

Выбор читателя

16+