• 50326
  • 64
  • 22
Нравится блог?
Подписывайтесь!

Пентест или Аудит

Знаменитое “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант “penetration testing“, конечно, не имеет ничего общего с фильмами эротического жанра, но сюжет самого процесса неуловимо близок к этому стереотипному оригиналу.

Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников” (или “секурити” (((-: ). По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)

Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас новорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.

Разницу между “пентестом” и “аудитом” объяснить достаточно просто.

Аудит информационной безопасности начинается с анализа рисков и угроз информационной безопасности. Он призван выявлять наиболее опасные угрозы с точки зрения системы защиты. Аудит должен дать вразумительный ответ на вопрос “если где-нибудь взломают защиту, то где будет больнее всего для бизнеса?”. Именно эти места “залатывают” в первую очередь.

Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача — ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.

К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение — необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно — его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей — сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.

Именно здесь кроется самая большая ошибка — настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.

Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс — настоящий state of the art. Да еще и весьма трудоемкий — ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.

13 декабря 2010, 3:31
994

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Маргулан Сейсембаев: Об идеальных учителях, финской модели обучения и дисциплине

Маргулан Сейсембаев: Об идеальных учителях, финской модели обучения и дисциплине

Крупнейшая частная школа осознала, что внедрять финскую модель в чистом виде в Казахстане, не имеет смысла. Нельзя давать детям свободу без "идеальных" учителей.
Zhumanova
вчера / 8:18
  • 5368
  • 8
О проститутках, ЗППП и других сексуальных страстях

О проститутках, ЗППП и других сексуальных страстях

У меня обширный сексуальный опыт, и я этим не хвастаюсь. Будь у меня возможность, променял бы это всё на одного партнёра. Но так как с личной жизнью не заладилось, а секс я очень люблю, то приходилось изворачиваться.
bez_prav
18 окт. 2017 / 18:01
Я помню тот день, когда мне позвонили друзья и сообщили: «Она выходит замуж». Часть 2

Я помню тот день, когда мне позвонили друзья и сообщили: «Она выходит замуж». Часть 2

Я знал дату свадьбы. За неделю до свадьбы в соцсети "Вконтакте" на все мои последние фото, был проставлен лайк с её профиля. Сердце забилось сильнее. В душе загорелась наивная, крошечная надежда.
Dominator-kz
17 окт. 2017 / 15:41
Льготное кредитование для молодежи Алматы. Не хоромы, но для начала неплохо

Льготное кредитование для молодежи Алматы. Не хоромы, но для начала неплохо

Если вам нет 35 лет и у вас нет своего жилья, то есть интересная гос.программа. Нишевая программа - молодые семьи Алматы до 35 лет, семья - это как минимум 2 супруга без детей.
DanaJarlygapova
19 окт. 2017 / 16:21
Мой парень – «тиран». Почему я вступила в такие отношения?

Мой парень – «тиран». Почему я вступила в такие отношения?

История из моей жизни. Я вспоминаю эти отношения и сама не могу понять - как так произошло? А дело в том, что вы и сами не заметите. Это наступает плавно и динамично.
Altynai_JA
18 окт. 2017 / 14:17
Доверяют ли граждане Казахстана полицейским? Социальный опрос

Доверяют ли граждане Казахстана полицейским? Социальный опрос

Борьба с оборотнями в погонах идёт не один год, но без особого эффекта. Это даёт повод подробнее поговорить о нашей полиции и её проблемах. Как относятся к полицейским казахстанцы?
voiceQZ
20 окт. 2017 / 18:42
  • 2663
  • 41
Как и где найти дешевые авиабилеты?

Как и где найти дешевые авиабилеты?

Дешевые авиабилеты и не только. Какими сайтами воспользоваться лучше всего? Байки о том, что чем раньше вы покупаете билет, тем дешевле, не всегда верны и точны.
dianaobyrne
вчера / 9:25
  • 2317
  • 15
Сказ об офисных планктонах. А какой работник ты?

Сказ об офисных планктонах. А какой работник ты?

Я проработала во многих компаниях и повстречала очень много разных интересных людей. Исходя из моих наблюдений, могу описать несколько категорий работников. Может, речь пойдет о ком-то из вас…
Altynai_JA
18 окт. 2017 / 17:51
  • 2049
  • 20
«Автобусная неделя». Выдержит ли аким Шымкента давку в общественном транспорте?

«Автобусная неделя». Выдержит ли аким Шымкента давку в общественном транспорте?

Аким Шымкента Габидулла Абдрахимов нашёл решение накопившихся проблем городского транспорта. Все ключевые работники акимата некоторое время будут сами ездить на автобусах.
openqazaqstan
18 окт. 2017 / 10:53
  • 1984
  • 36