Что входит в пентест

В этой статье расскажем, что входит в пентест, что должны ломать, обнаруживать и предотвращать специалисты, а также подскажем базу по инструментам.

Главная задача пентеста — проникнуть в систему компании или её сеть, получить контроль над конкретным устройством или программным обеспечением, а в финале — забрать информацию или вывести из строя части системы или её целиком. Пентест можно разделить на несколько составляющих, которые ведут к главным целям.

Сети

Здесь нужно искать слабые узлы, плохо настроенные протоколы, уязвимости при передаче или получении данных. Сюда же отнесем поиск смешных по простоте паролей, а также другие возможности проникновения в сети. База: анализатор сетевых пакетов Wireshark.

Приложения и программное обеспечение

Здесь мы говорим и про локальные, сетевые приложения, и про сайты. Подделывать запросы, пытаться получить доступ к БД, использовать вреденосные скрипты, мешать работе сеансов. Всё это лишь часть задач пентеста. Обычно эта часть пентеста происходит до полноценного запуска системы: так не будет нарушена реальная работа компании. Но даже после релиза периодический пентест приложений и ПО — обязательная практика. Обновления, усложнение систем и связей между сущностями — все это может вскрыть разного рода уязвимости. А задача пентеста — найти их. База: программа по поиску уязвимостей в приложения и ПО — Burp Suite.

Устройства

Здесь мы говорим и про физический, и про программный уровни. Искать слабые места сети, к которой подключено устройство, использовать брутфорс и другие возможности взлома. База: брутфорс-программа John the Ripper, тестировщик безопасности Wi-Fi Aircrack-ng.

Физические системы

Дата-центры, серверные или любое другое охраняемое помещение — пентест должен стараться проникнуть и туда. А еще проверить системы видеонаблюдения, кондиционирования и другие. Это кажется мелочью, но повысив температуру в серверных можно остановить работу компании на часы и даже дни. Пентест должен продумывать даже такие неочевидные последствия взлома.

База: CamOver для взлома камер и Airgeddon для атаки Evil Twin

Люди

Оставили на десерт самый лакомый кусок пентеста. Человеческий фактор — главная причина плохой кибербезопасности. Оценка возможности «случайного» слома системы, наивность в переписке через корпоративные почты, слабые пароли, ошибки в хранении и передачи данных. Всё это тоже входит в пентест. База: основы социальной инженерии и фишинг

Last updated 10 months ago