Какво е Pentest
Въпросите, свързани с неговата информационна сигурност в нашата загриженост за всеки нормален компания, и по принцип време, дори и сред правителствените и неправителствените организации са тези, които се отнасят по този въпрос, да кажем, не на всички извънземен. Въпреки това, за да купуват специализиран софтуер, да наемете някой да се създаде системата и го актуализира от време на време - това не е всичко, което е необходимо, за да може да работи успешно да изпълнява предназначението си. С цел да се определи какво друго, което трябва да направите, и там Pentest. Фактът, че той е и какво, метафорично казано, да ги ядат, а ние ще говорим днес в нашата секция "F.A.Q.".
Pentest - подробен план от английски pentest, което стои като тест за проникване, или на български език, тест за проникване. По време на такъв тест специалист тестер подрежда psevdoataku на корпоративната мрежа, постановка действия на истинските престъпници или атака, извършвани от някои злонамерен софтуер без прякото участие на бедняк. Целта на тези изследвания е, разбира се, на първо място, идентифициране на слабости в защитата на корпоративната мрежа от тези атаки и по този начин елиминира намерени по време на пропуски Pentest.
Има два вида pentestirovaniya: тестване "черна кутия" тестване и "бяла кутия". В първия случай, както можете да се досетите, експертите извършването на изпитванията, има на разположение информация за вътрешната структура на защита, а дори и за мрежовата инфраструктура. Във втория случай, напротив, те са на разположение в почти всички такава информация. Има междинни опции, когато за мрежата и за защита все още не знае нещо, но не толкова, колкото бихме искали. Те не са без чувство за хумор, наречен "сива кутия тестване." Ползите от всеки тип изпитване активно обсъждани от експерти, но повечето от тях са съгласни, че най-добрият вариант е използването на тестове и за черно-бели за кутии.
Често такива изпитвания се поддава на автоматизация, както и, като цяло, до голяма степен pentesterov усилия са насочени към максимално автоматизиране на работата му. Този интерес и клиенти, защото автоматизирано тестване, разбира се, е по-евтино, отколкото на потребителя.
Наскоро Pentest заявление схема за откриване на слабости в системата за закрила на компанията често критикува тези, които използват Pentest, както и тези, които не искат да ги използват. Най-често аргументите на опонентите Pentest - липсата на пълнота (т.е., никой не може да ви гарантира, че Pentest разкри всички дупки в системата за сигурност), невъзможността да контролира дейността на pentesterov, както и липсата на гаранции, че намерих "дупка" не е използвана от pentesterami да открадне информация от страна на клиента. Въпреки това, докато тези, които се използват Pentest за повишаване на тяхната собствена защита, трябва да се примири с всички недостатъци, присъщи на този метод, защото днес много добра алтернатива на това, като цяло, не се очаква.
В момента има много на стандартизирани методики за Pentest, като GWAPT, ИЕМ, OWASP. Ако искате да поръчате някой Pentest, че би било по-добре, ако работата, че някой ще се ръководи от указанията, дадени в нито един от тези стандарти.
версия за печат