Зачем нужны тесты на проникновение?

10 ноября 2019, 12:53

Возникновение многих практик в ИТ-сфере обусловлено адаптацией тех подходов, которые сформировались еще в индустриальную эпоху. К примеру, изготовители сейфов пользовались услугами профессиональных взломщиков, чтобы выявить слабые стороны своих изделий, а в настоящее время фирмы обращаются за помощью к хакерам, чтобы найти уязвимости в корпоративных сетях.

Возникло целое направление деятельности, в рамках которого сторонние эксперты осуществляют тесты на проникновение (penetration testing, или сокращенно pentest). Во время проведения такого тестирования «белые хакеры» предпринимают ряд действий, нацеленных на проникновение в корпоративную сеть. Они имитируют разнообразные атаки и типичные действия, совершаемые злоумышленниками. По результатам выполненных работ пишется отчет, в котором содержится детальная информация о выявленных проблемах с защитой и даются советы по избавлению от них.

Тесты на проникновение представляют собой составляющую комплексного аудита ИТ-безопасности, заказать который вы можете в RTM Group. В рамках аудита выполняется анализ технических и организационных мер, направленных на обеспечение ИТ-безопасности. Производится проверка настроек систем защиты, обнаруживаются слабые места в прошивках компьютерного оборудования, системном программном обеспечении и пользовательских программах, а также производится изучение реакции персонала на распространенные уловки. Комплекс этих проверок дает возможность обнаружить уязвимости в системе IT-безопасности фирмы.

Тестирование на проникновение позволяет решить сразу две задачи. Во-первых, оно предотвращает репутационный и финансовый ущерб, наносимый компаниям. Особой популярностью данная услуга пользуется в фирмах, ранее сталкивавшихся с инцидентами в области информационной безопасности. Во-вторых, существуют определенные направления деятельности, в которых компании должны подтверждать свое соответствие установленным стандартам IT-безопасности и требованиям законодательства. К примеру, все российские фирмы, которые используют платежную сеть VisaNet, с 2006 года должны выполнять стандарт PCI DSS, предусматривающий регулярные тесты на проникновение.

Количество таких нормативов постоянно растет, и для соблюдения каждого из них необходимо осуществлять тестирование на проникновение. В настоящее время для фирм различного профиля разработан весьма объемный пакет специфических требований, подход к соблюдению многих из которых со стороны штатных специалистов является формальным. Использование услуг независимых экспертов позволяет выявить эти недостатки.