Когда и зачем проводится тест на проникновение в систему

Проверка на проникновение (известная также как pen-тестирование) организуется для того, чтобы понять, есть ли уязвимые места в системе безопасности сайта. Во время проведения работ программист действует как злоумышленник: он пытается найти слабину в защите ресурса и получить доступ к важной информации. В результате клиент получает перечень рекомендаций по улучшению безопасности и доработкам, которые необходимо сделать.

Кому требуется pen-тестирование

Проводить проверку стоит периодически всем компаниям, которые имеют полноценный сайт и используют внутреннюю корпоративную сеть. Своевременно заказав тестирование на проникновение, можно избежать серьезных проблем с хакерами в дальнейшем. Среди компаний, пользующихся такими услугами, встречаются:

• телекоммуникационные организации;
• банки;
• интернет-магазины;
• государственные учреждения;
• коммунальные службы.

Ещё одна задача пен-теста — определить уровень осведомленности среди сотрудников службы IT-безопасности компании клиента. Благодаря проверке, становится понятно, насколько компетентны работники и не стоит ли им пройти обучение по каким-либо темам.

Как проходит процедура тестирования

Во время проверки задача аудитора состоит в поиске слабых мест защиты сайта. Поэтому специалист ведёт себя как хакер: пытается проникнуть в систему безопасности, взломать важные файлы или внедрить в программу вредоносные и вирусные файлы. Если ему это удается, становится понятно, какие части защиты стоит усилить. К обязательным действиям аудитора относятся следующие:

• попытка проникнуть во внутреннюю сеть компании, используя уязвимые и плохо продуманные места системы;
• применение средств социальной инженерии для проверки уровня компетентности персонала;
• попытка взломать веб-интерфейс системы.

Иногда тестирование проводится без ведома сотрудников компании, отвечающих за безопасность. В таком случае клиент и аудитор следят за поведением IT-специалистов и их попытками пресечь незаконное проникновение. По завершении проверки сотрудники получают рекомендации по организации достойного ответа хакерам.