ККарта міста ДДовідкова ВВеб-камери міста Чернівці

Тест на проникновение: “взломщика” вызывали?

Вы уверены, что ваша система защиты информации эффективна? А если проверить? - собственно, это основные вопросы, на которые отвечает penetration testing. Данная процедура была специально разработана, чтобы имитировать действия киберпреступника.

Фактически весь тест на проникновение уязвимостей состоит в их поиске и использовании, с целью получения сторонним лицом полного доступа либо контроля над информационной безопасностью (ИС) или ее отдельным сегментом.

“Взломать” и проникнуть

Главная задача - войти в локальную сеть/рабочую станцию и получить доступ к целевым данным или стать системным администратором, чтобы полностью управлять всей ИТ-структурой.

Чтобы этого добиться нужно:

воспользоваться уязвимостями в настройках “по умолчанию” или неверной конфигурацией защитных средств;
подобрать пароль сети/пользователя.

В результате заказчик узнает о своих слабых местах. Побочным эффектом является проверка профпригодности айтишников и специалистов по кибербезопасности, если они заранее не были предупреждены. Но есть и недостатки: ищутся лишь те недоработки, которые влияют на достижение поставленной цели. Например, несанкционированный вход в интернет-банкинг или бухгалтерию.

Виды тестируемых систем

В зависимости от поставленных заданий, тестировщик работает в различных режимах:

“черный ящик”. Исполнитель лишь знает, что есть такая сеть и ИС. Подход дает отличные результаты, если требуется определить утечку в общий доступ технических и административных нюансов работы инфосистемы;
“серая коробка”. Ускоренный вид предыдущего метода, так как аудитор может запросить часть необходимой информации;
“полный доступ”. Есть все характеристики и особенности испытуемого объекта. Миссия больше рассчитана именно на поиск уязвимостей.

Тест на проникновение и уязвимости через человеческий фактор

Эту проверку можно назвать “социальным инжинирингом”. Мишенью становится не ПО или оборудование, а персонал компании. Считается идеальным способом противодействия фармингу и фишингу. Тестируется как лояльность, соблюдение норм о неразглашении, так и доверчивость и знание правил обеспечения информационной безопасности.

Обычно включает:

физическое присутствие аудиторов в компании, чтобы проверить уровень сохранности конфиденциальных данных и документов. Сюда входит поиск паролей, сертификатов доступа, записанных в “секретном” месте: на стикере, прикрепленном к монитору, столу или стойке, в телефоне, на задней крышке клавиатуры и т.д.;
виртуальный способ. На страничку соцсети, на электронную почту или на смартфон сотрудника отправляется сообщение/делается звонок от анонима с требованием указать пароль, чтобы его сменить или передать персональные данные. В сообщениях предлагается ввести в систему какой-либо код или перейти с рабочей станции по высланной ссылке.

Как считают специалисты по кибербезопасности FS Group, наиболее эффективно зарекомендовало себя использование и технического, и социального тестирования на проникновение. Если уязвимости ПО можно легко устранить, то с людьми придется долго и серьезно работать. Но только так вы сможете быть уверены, что ваша секретная информация не уйдет “на сторону”, а локальная система выдержит любую атаку.