Пентест (Penetration Testing - Pentest) – комплекс організаційних та технічних заходів, спрямованих на оцінку захищеності інформаційної системи від стороннього проникнення. Спеціалісти використовують методи етичного хакінгу (Ethical Hacking), щоб змоделювати дії зловмисників та виявити можливі вразливості системи.

пентест

Різновиди пентесту

Процедура тестування на проникнення може проводитись за «чорною», «білою» або «сірою» схемою. Відповідно до цього, пентестер або зовсім нічого не знає про систему, яку досліджує, або йому надаються IP-адреси та доступи. В «сірому» варіанті тестувальник має обмежену інформацію.

Використовують різноманітні техніки та методики проведення pentest, серед яких можна виокремити наступні види:

  • Web Application Penetration Testing для аналізу веб-застосунків;
  • Cloud Penetration Testing – тестування хмарних платформ та серверів;
  • Mobile Penetration Testing – аналіз застосунків, які використовуються на смартфонах;
  • Network Penetration Testing – оцінка проникнення до зовнішніх або внутрішніх комп’ютерних мереж;
  • Software Penetration Testing – перевірка захищеності програмного забезпечення.

Пентест може також розповсюджуватися на цифрові пристрої, промислову інфраструктуру, інтернет речей, смартконтракти та блокчейни (для криптовалютних мереж) тощо. Тестування може передбачати намагання зламати різними засобами досліджувані системи. Етичний хакінг не варто плутати зі злочинними кібератаками, адже процедура проводиться за замовленням власника системи. Спеціалістами з кібербезпеки також можуть відпрацьовуватися моделі ефективного захисту від атак.

тестування на проникнення

Етапи проведення пентесту

Незалежно від виду тестування та вибраної стратегії, пентест проходить за наступною схемою:

  1. Планування. Збір необхідної інформації (або її надання замовником), щоб подолати захист системи, яка досліджується.
  2. Проведення атаки. Після аналізу зібраних даних виявляються вразливості системи. Пентестер намагається обійти системи захисту, щоб зламати об’єкт.
  3. Підготовка звіту. Пентестер документує всі виконані дії в онлайн-режимі. Скриншоти, інфографіки, посилання та інша інформація допоможе сформувати експертні висновки для замовника.

Якщо в результаті пентесту система була успішно зламана, клієнту надаються рекомендації, щодо підвищення захищеності та уникнення деструктивних наслідків злочинних хакерських атак у майбутньому. Навіть якщо система продемонструвала стійкість, все одно формуються пропозиції для зміцнення її захисту. Зазвичай мета тестування на проникнення встановлюється у попередньо розробленому ТЗ.

Послуги пентесту успішно надає компанія Active Audit Agency. Структурований звіт допоможе оцінити ризики, розробити дієві організаційні та технічні заходи для їхньої мінімізації. Замовити пентесту можна в Києві та по всій Україні.