Зачем нужен пентест?

Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно и метод "кувалды" никто не отменял;)), а в использовании результатов подобных работ для совершенствования системы управления информационной безопасностью (далее - СУИБ). Безусловно, этого удается достигнуть только при правильной интерпретации полученных данных и при отработке широкого охвата возможных и наиболее реализуемых вариантов атаки. Под "правильной" интерпретацией результатов пентеста нужно понимать, что помимо оперативного устранения уязвимостей Заказчику подобных услуг следует также осуществить выстраивание процессов СУИБ таким образом, чтобы предотвратить их появление в дальнейшем. Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых действий потенциальным злоумышленником, в условиях, максимально приближенных к реальности. Это позволяет выяснить, где безопасность работает хуже, а где лучше, выявить наиболее уязвимые места в информационной системе, причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом. name='more'> В тестировании на проникновение, нет ни каких загадок или тайн. Методология проведения такого рода работ подробно описана в Open Source Security Testing Methodology Manual ( OSSTMM ) и Open Web Application Security Project ( OWASP ). Используя подходы, изложенные в указанных методиках, пентест из "игры в хакеров" превращается в весьма объективную оценку реальной защищенности исследуемой информационной среды. А полученными данными по результатам пентеста, можно эффективно оперировать при анализе информационных рисков.