Что такое пентест?

Итак, пентест — это тестирование на проникновение информационных ресурсов с разрешения владельца таких ресурсов. Такие процедуры необходимы для оценки состояния защищенности IT-структуры компании.

Говорят: «Если взлом под силу пентестеру, то под силу и блэку». Тестирование на проникновение предполагает, что атакующий (специалист, выполняющий пентест), пытается атаковать IT-ресурсы компании, используя обнаруженные уязвимости. Кстати, уязвимости могут быть не только техническими, но и связанными с человеческим фактором (это уже область социальной инженерии). Популярный пример социальной инженерии — поиск выброшенной важной информации (логинов, паролей) в урну, телефонный звонок сотрудникам атакуемой компании и получение от них такой информации путём ввода в заблуждение (например, звонок под видом специалиста тех.поддержки интернет-провайдера). Пентестер использует те же методики, что и блэк, но с благой целью: выявить и устранить уязвимые места в IT-структуре компании.

После окончания тестирования на проникновение руководству компании передаётся подробный отчёт о найденных уязвимостях.

Кстати, различают три вида тестирования на проникновение:
1. White Box: атакующему доступна вся информация тестируемых компонентов информационных ресурсов компании;
2. Black Box: доступна только минимальная информация;
3. Grey Box: информация об инфраструктуре компании доступна частично.

Поскольку пентестеры — это этичные хакеры, любое тестирование на проникновение начинается с подписания документов, в том числе подписания соглашения о неразглашении (NDA) и разрешения от владельца ресурсов на проведение пентеста. Профессиональный пентестер — специалист не только в области ИБ с глубокими познаниями, но и отличный психолог, умеющий в случае отсутствия технической возможности взлома воспользоваться уязвимостями, связанными с человеческим фактором. Путь пентестера — это долгий путь от начинающего ИТ-специалиста до профессионального White Hat. Пентестер — это прежде всего исследователь и фанат ИБ.