АйратГалиулин
Консультация

<Назад
Знакомьтесь, Пентест

8/22/2022

Всем привет! 🖖

Сегодня мы начинаем погружаться в увлекательный мир информационной безопасности, а если точнее, то в один из его значительных подразделов - тестирование на проникновение.


Что такое тестирование на проникновение (Пентест)?


Корпоративная сеть предприятия бывает внешняя, которая объединяет различные сервера и прочие удаленные устройства, и внутренняя(локальная сеть), которая объединяет в сеть устройства предприятия находящиеся в пределах локации офиса. Каждое из этих устройств выполняет какую-то функцию, например сервер для корпоративного сайта, хранилище данных или рабочий компьютер сотрудника.


Как у операционных систем, так и у программ, могут быть слабые места. Если правильно надавить на эти слабые места, то можно получить доступ к управлению устройством(-ами), а далее с помощью определенных методов захватить всю корпоративную сеть. Таким образов можно разделить пентест на внешний и внутренний. Подробнее об этом поговорим в разделе «Основные этапы тестирования».


Таким образом пентест - это моделирование хакерской атаки, которая нацелена на поиск и компрометацию уязвимых устройств во внешней и внутренней сети предприятия, либо в глобальной сети интернет в целом, с целью кражи данных или выведения из устройства из рабочего состояния.


Методолгии тестирования


Методы «белого ящика». В этой группе тестов испытатель хорошо знает проверяемую систему и имеет полный доступ ко всем ее компонентам. Испытатели работают с клиентом и имеют доступ к закрытой информации, серверам, запущенному программному обеспечению, сетевым схемам, а иногда даже к учетным данным. Этот тип испытаний обычно проводится для проверки новых приложений перед их вводом в эксплуатацию, а также для регулярной проверки системы в рамках ее жизненного цикла - Systems Development Life Cycle (SDLC). Такие мероприятия позволяют выявить и устранить уязвимости раньше, чем

они могут попасть в систему и навредить ей.


Методы «черного ящика». Эта группа тестов применима, когда испытателю ничего не известно об испытуемой системе. Этот тип тестирования в наибольшей степени похож на настоящие атаки злоумышленника. Испытатель должен получить всю информацию, творчески применяя имеющиеся у него в распоряжении методы и инструменты, но не выходя за рамки заключенного с клиентом соглашения. Но и этот метод имеет свои недостатки: хотя он и имитирует реальную атаку на систему или приложения, испытатель, используя только его, может пропустить некоторые уязвимости. Это очень дорогой тест, так как

занимает большое количество времени. Выполняя его, испытатель изучит все возможные направления атаки и только после этого сообщит о результатах. Кроме того, чтобы не повредить проверяемую систему и не вызвать сбой, испытатель должен быть очень осторожным.


Методы «серого ящика». Тест учитывает все преимущества и недостатки первых двух тестов. В этом случае испытателю доступна только ограниченная информация, позволяющая провести внешнюю атаку на систему. Испытания

обычно выполняются в ограниченном объеме, когда испытатель немного знает о системе. Пример информации - диапазон IP адресов, которые необходимо проверить на уязвимость.


Заключение


Тестирование на проникновение - это очень большой и значимый раздел информационной безопасности. Он помогает многим компаниям по всему миру снизить риски компрометации устройств, выявить недобросовестный персонал. С каждой новой статье на эту тематику мы будем глубже погружаться в мир пентеста. В следующей публикации мы рассмотрим, в общих чертах, из каких этапов состоит классическое тестирование на проникновение.

Хэштеги:
#пентест
Поделиться:

Самое свежее

Простыми словами о графах

12/18/2022

В этой статье мы начнем знакомство с графами, познакомимся с одним из алгоритмов для работы с графами и реализуем граф на языке программирования Rust.

#графы
#алгоритмы
#rust

В чем отличие аутсорсинга разработки от аутстаффинга ИТ-сотрудника для разработки?

10/17/2022

В этой статье разберемся, что такое аутсорс- и аутстафф-разработка.

#процессразработки

UI/UX дизайн: Процесс создания

4/9/2023

В этой статье поговорим об основных шагах в процессе создания UI/UX дизайна.

#процессразработки

UI/UX дизайн: Введение

3/29/2023

В этой статье мы начинаем знакомиться с UI/UX дизайном. Это важнейший этап в разработке любого визуального интерфейса приложений.

#процессразработки

Сокращаем срок реализации MVP

12/8/2022

Разберемся со сроками реализации MVP.

#процессразработки

Выбираем язык программирования

3/17/2023

В этой статье мы поговорим о выборе языка программирования для изучения

#хочукодить

Тестирование концепции MVP

1/9/2023

Разбираемся с тем, как не потратить бюджеты на разработку MVP впустую

#процессразработки

Проектирование архитектуры приложений: Введение

3/6/2023

В этой статье поговорим о процессе создания архитектуры ИТ-решения

#процессразработки

Техническое задание: Структура

2/17/2023

В этой публикации мы рассмотрим универсальную структуру ТЗ

#процессразработки

Неверная оценка стоимости услуг ИТ подрядчика

9/10/2022

Сегодня мы поговорим о неверной оценке стоимости разработки ИТ решений. Эта боль - одна из основных для предприятий и стартапов, включая самих ИТ подрядчиков.

#консалтинг

Введение в паттерны проектирования в разработке программного обеспечения

10/3/2022

В этой статье мы начнем погружаться в мир оптимизации архитектуры приложений с помощью шаблонов проектирования

#шаблоныпроектирования

Выбираем направление разработки для обучения программированию

2/5/2023

В этой статье вы узнаете какие бывают направления разработки, чем они отличаются и в каком больше платят.

#хочукодить

Уровни модели OSI

9/6/2022

В этой статье мы более подробно рассмотрим каждый из уровней модели OSI

#сети
#osi

Основные типы архитектуры приложений

3/7/2023

В этой публикации разберемся с тем, какие бывают архитектуры приложений

#процессразработки

10 способов использования Rust Cargo

2/11/2023

В этой небольшой статье я собрал 10 способов использования системы сборки и менеджера пакетов языка программирования Rust

#rust
#cargo

Документирование кода в языке программирования Rust

8/24/2022

В этой статье рассмотрим то, как происходит документирование в Rust и рассмотрим очень полезную возможность - написание тестов через документирование.

#rust

Знакомство с моделью OSI

8/19/2022

В этой статье начинаем рассматривать фундаментальную модель сетевого взаимодействия - OSI

#сети

CSS анимация пульсации

8/31/2022

Простой пример того, как реализовать анимацию пульсации, используя HTML и CSS

#css

Для чего нужна ER-диаграмма в процессе разработки?

4/28/2023

Обсудим в общих чертах, что такое ER-диаграмма и для чего она нужна.

#процессразработки

От концепции к MVP

11/18/2022

В этой статье вы узнаете, на примере, о том, как перейти от концепции к MVP без лишних усложнений в функционале продукта

#процессразработки

Для чего нужны UML диаграммы?

5/23/2023

В этой статье мы поговорим о том, что такое UML диаграммы, какие они бывают и где используются

#процессразработки

Введение в написание технического задания

1/31/2023

Техническое задание - это важная часть процесса разработки. В этой статье начнем погружение в данный вопрос.

#процессразработки

Введение в разработку

10/10/2022

Сегодня большинство компаний сталкивается с ИТ-разработкой и часто не получают то, чего хотят. В этой статье мы начинаем погружение в процесс создания ИТ-решений.

#процессразработки

От идеи к концепции

10/27/2022

В этой публикации мы поговорим о том, чем идея отличается от концепции. Сделаем это на примере конкретной цели

#процессразработки

Взвешенные графы

12/26/2022

В этой статье мы познакомимся со взвешенными графами, алгоритмом Дейкстры и его реализацией на языке программирования Rust.

#алгоритмы
#графы
#rust

Зачем VPN бизнесу?

9/27/2022

В этой статье мы рассмотрим то, как можно обезопасить доступ к облачным ресурсам предприятия с помощью VPN

#сети
#впн