Ручной пентестинг

Как известно, существуют разные способы проверить защищенность системы. К примеру, совсем недавно мы рассказывали про плюсы и минусы сканирования на наличие уязвимостей. Сейчас вкратце рассмотрим преимущества и недостатки ручного пентеста.

На практике соответствующие тесты на проникновение выполняются вручную силами сотрудников компании. Также для этих целей могут привлекаться различные внешние консультанты. Главная задача -- оценить защищенность инфраструктуры организации посредством ее безопасного взлома. В результате проверяются уязвимости служб, приложений, операционных систем. Также проверяются неправильные конфигурации либо имитируются случаи неосторожного поведения пользователей.

Говоря простым языком, осуществляется атака на сеть, устройства и приложения с целью определить, а смогут ли хакеры выполнить такой взлом. По итогу пентестинга становится понятно, насколько глубоко может проникнуть условный злоумышленник, а также какие объемы данных он сможет украсть/использовать в собственных целях.

Плюсы:

1. Можно выявить слабые места, не заметные при сканировании на уязвимости.
2. Удается обнаружить критические проблемы с инфраструктурой.
3. Это неплохое испытание для средств, обеспечивающих сетевую безопасность.
4. Можно использовать практически любые технологии атаки, включая те, что появились накануне проверки.
5. По итогу пентестинга создается результирующий отчет, помогающий устранить уязвимости.

Минусы:

1. Качество и полнота результатов во многом зависят от опыта и знаний специалиста по ручному пентестингу.
2. Ограниченная тестовая среда не дает возможности использовать все средства, доступные реальному хакеру.
3. Результирующий отчет придется подождать, что может занять неделю и даже месяц(ы).
4. Даже опытный специалист не в силах проверить абсолютно все существующие и хорошо ему известные технологии атаки.
5. Так как все аспекты системы не проверяются, то и полная картина будет отсутствовать (в частности, невозможно проверить весь исходный код, все web-службы, web-страницы, параметры, декомпилированные программы и пр.).
6. Результаты ручного пентестинга отражает фактическое состояние системы в конкретный момент времени. А раз высока не только продолжительность, но и стоимость данного вида тестирования, то и выполнять его достаточно часто не получится.

По материалам блога компании TS Solution.