Согласно отчету провайдера безопасности DDOS-Guard, количество успешных кибератак в 2024 году выросло на 80%, и часть из них произошла из-за отсутствия пентест-проверок.

Что это за услуга, как реализуется и о других интересных нюансах рассказывает директор Центра информационной безопасности Михаил Серёгин.

Инфраструктуру: сетевые устройства, серверы, рабочие станции

Приложения: веб-сайты, мобильные и корпоративные системы

Способность сотрудников противостоять социальной инженерии — манипулятивным техникам со стороны преступников, в результате которых персонал раскрывает конфиденциальную информацию или доступы к системам

Пентест (тестирование на проникновение) или этичный взлом — проверка способности компании противостоять киберугрозам. Это процесс, при котором специалисты моделируют действия злоумышленников для выявления слабых мест в защите.

Проверка охватывает:

Что такое пентест?

Как проходит проверка?

Почему пентест необходим бизнесу?

Пентест помогает не только найти уязвимости, но и улучшить защиту, повысить осведомленность сотрудников и минимизировать риски. Это комплексный процесс, при котором экспертам компании помогают внешние специалисты. В результате заказчики получают свежий взгляд на свои системы и решения, которые делают их бизнес более устойчивым к угрозам.

Эффект проверки:

Black box (черный ящик)

Такой специалист моделирует действия внешнего хакера, который не обладает предварительными знаниями о системах компании. Он атакует те элементы инфраструктуры, которые доступны извне: веб-сайты, серверы и сервисы и даже точки доступа Wi-Fi.

Этот подход помогает выявить уязвимости, которые могут быть использованы злоумышленниками из других стран.

В результате этот подход наиболее детален и позволяет обнаружить слабые места, которые были бы скрыты при внешней проверке.

Пентестер работает с полным доступом ко всей информации о системах компании. Он исследует защищённость внутренних ресурсов, баз данных и инфраструктуры. Проверяет, насколько безопасны различные уровни доступа сотрудников и можно ли повысить их права. Этот подход может включать доступ к исходному коду сервисов, используемых в компании.

White box (белый ящик)

Пентестеры бывают разные…

Gray Box (cерый ящик)

Пентестер работает с ограниченным уровнем доступа как обычный сотрудник компании. Он проверяет, что может сделать пользователь со стандартными правами, например, увидеть или скачать конфиденциальные данные, получить доступ к внутренним сервисам или повысить свои полномочия.

Такой подход также моделирует ситуацию, когда злоумышленники захватили устройство сотрудника и используют его для проникновения в корпоративную сеть.

Мы рекомендуем проводить пентесты не реже одного раза в год, чтобы своевременно выявлять уязвимости. Помимо этого, важно регулярно обучать сотрудников основам информационной безопасности, ведь человеческий фактор остается одной из главных причин киберинцидентов. Техники социальной инженерии — от фишинга до поддельных звонков — становятся всё более изощренными, и только осведомленность сотрудников помогает их предотвратить.

@alukatsky

@dataleak

@Russian_OSINT

@SecLabNews

А офисным сотрудникам иногда просматривать новости здесь:

@tomhunter

Важно оставаться в курсе новых механик киберугроз, чтобы быть на чеку. Рекомендовал бы специалистам по ИБ подписаться на такие telegram-каналы, как:

Быть в курсе новых видов киберугроз важно всем сотрудникам компаний.

Михаил Серёгин

директор Центра ИБ
Университета Иннополис

Узнать больше об услугах
Центра информационной безопасности