<НазадЗнакомьтесь, Пентест
8/22/2022Всем привет! 🖖
Сегодня мы начинаем погружаться в увлекательный мир информационной безопасности, а если точнее, то в один из его значительных подразделов - тестирование на проникновение.
Что такое тестирование на проникновение (Пентест)?
Корпоративная сеть предприятия бывает внешняя, которая объединяет различные сервера и прочие удаленные устройства, и внутренняя(локальная сеть), которая объединяет в сеть устройства предприятия находящиеся в пределах локации офиса. Каждое из этих устройств выполняет какую-то функцию, например сервер для корпоративного сайта, хранилище данных или рабочий компьютер сотрудника.
Как у операционных систем, так и у программ, могут быть слабые места. Если правильно надавить на эти слабые места, то можно получить доступ к управлению устройством(-ами), а далее с помощью определенных методов захватить всю корпоративную сеть. Таким образов можно разделить пентест на внешний и внутренний. Подробнее об этом поговорим в разделе «Основные этапы тестирования».
Таким образом пентест - это моделирование хакерской атаки, которая нацелена на поиск и компрометацию уязвимых устройств во внешней и внутренней сети предприятия, либо в глобальной сети интернет в целом, с целью кражи данных или выведения из устройства из рабочего состояния.
Методолгии тестирования
Методы «белого ящика». В этой группе тестов испытатель хорошо знает проверяемую систему и имеет полный доступ ко всем ее компонентам. Испытатели работают с клиентом и имеют доступ к закрытой информации, серверам, запущенному программному обеспечению, сетевым схемам, а иногда даже к учетным данным. Этот тип испытаний обычно проводится для проверки новых приложений перед их вводом в эксплуатацию, а также для регулярной проверки системы в рамках ее жизненного цикла - Systems Development Life Cycle (SDLC). Такие мероприятия позволяют выявить и устранить уязвимости раньше, чем они могут попасть в систему и навредить ей.
Методы «черного ящика». Эта группа тестов применима, когда испытателю ничего не известно об испытуемой системе. Этот тип тестирования в наибольшей степени похож на настоящие атаки злоумышленника. Испытатель должен получить всю информацию, творчески применяя имеющиеся у него в распоряжении методы и инструменты, но не выходя за рамки заключенного с клиентом соглашения. Но и этот метод имеет свои недостатки: хотя он и имитирует реальную атаку на систему или приложения, испытатель, используя только его, может пропустить некоторые уязвимости. Это очень дорогой тест, так как занимает большое количество времени. Выполняя его, испытатель изучит все возможные направления атаки и только после этого сообщит о результатах. Кроме того, чтобы не повредить проверяемую систему и не вызвать сбой, испытатель должен быть очень осторожным.
Методы «серого ящика». Тест учитывает все преимущества и недостатки первых двух тестов. В этом случае испытателю доступна только ограниченная информация, позволяющая провести внешнюю атаку на систему. Испытания
обычно выполняются в ограниченном объеме, когда испытатель немного знает о системе. Пример информации - диапазон IP адресов, которые необходимо проверить на уязвимость.
Заключение
Тестирование на проникновение - это очень большой и значимый раздел информационной безопасности. Он помогает многим компаниям по всему миру снизить риски компрометации устройств, выявить недобросовестный персонал. С каждой новой статье на эту тематику мы будем глубже погружаться в мир пентеста. В следующей публикации мы рассмотрим, в общих чертах, из каких этапов состоит классическое тестирование на проникновение.
Самое свежее
CSS анимация пульсации
8/31/2022Простой пример того, как реализовать анимацию пульсации, используя HTML и CSS
Неверная оценка стоимости услуг ИТ подрядчика
9/10/2022Сегодня мы поговорим о неверной оценке стоимости разработки ИТ решений. Эта боль - одна из основных для предприятий и стартапов, включая самих ИТ подрядчиков.
Зачем VPN бизнесу?
9/27/2022В этой статье мы рассмотрим то, как можно обезопасить доступ к облачным ресурсам предприятия с помощью VPN
Сокращаем срок реализации MVP
12/8/2022Разберемся со сроками реализации MVP.
Знакомство с моделью OSI
8/19/2022В этой статье начинаем рассматривать фундаментальную модель сетевого взаимодействия - OSI
Документирование кода в языке программирования Rust
8/24/2022В этой статье рассмотрим то, как происходит документирование в Rust и рассмотрим очень полезную возможность - написание тестов через документирование.
Уровни модели OSI
9/6/2022В этой статье мы более подробно рассмотрим каждый из уровней модели OSI
Введение в паттерны проектирования в разработке программного обеспечения
10/3/2022В этой статье мы начнем погружаться в мир оптимизации архитектуры приложений с помощью шаблонов проектирования
В чем отличие аутсорсинга разработки от аутстаффинга ИТ-сотрудника для разработки?
10/17/2022В этой статье разберемся, что такое аутсорс- и аутстафф-разработка.
От идеи к концепции
10/27/2022В этой публикации мы поговорим о том, чем идея отличается от концепции. Сделаем это на примере конкретной цели
Введение в разработку
10/13/2022Сегодня большинство компаний сталкивается с ИТ-разработкой и часто не получают то, чего хотят. В этой статье мы начинаем погружение в процесс создания ИТ-решений.
От концепции к MVP
11/18/2022В этой статье вы узнаете, на примере, о том, как перейти от концепции к MVP без лишних усложнений в функционале продукта