Пентест: тест на проникновение (penetration testing)
Пентест (penetration testing, тест на проникновение) — это контролируемая имитация хакерской атаки на инфраструктуру компании, которую проводят специалисты по согласованию с заказчиком, чтобы найти реальные уязвимости раньше, чем их найдёт настоящий злоумышленник.
Что это такое простыми словами
Если сканирование уязвимостей отвечает на вопрос «какие двери в системе теоретически могут быть открыты», то пентест отвечает на вопрос «а можно ли через эти двери реально войти и куда дойти». Этичный хакер (его называют пентестером) действует как настоящий злоумышленник: ищет слабые места, эксплуатирует их, пытается повысить привилегии, добраться до критичных данных — но делает это легально, в рамках договора и без причинения реального вреда.
Главная ценность пентеста — он показывает не гипотетический, а доказанный риск. Не «у вас открыт порт RDP (протокол удалённого рабочего стола)», а «через этот порт мы за два часа подобрали пароль администратора и получили доступ к базе 1С». Это переводит разговор об ИБ из абстракции в конкретику, понятную и руководителю, и бухгалтеру.
Виды пентеста: black, grey, white box
Пентесты различают по тому, сколько информации о системе пентестер получает заранее. Это определяет, насколько реалистично имитируется атака и сколько времени уходит на разведку.
Black box (чёрный ящик). Пентестер не знает о системе ничего, кроме названия компании или адреса сайта — ровно как внешний злоумышленник. Он сам ведёт разведку, ищет точки входа, собирает информацию. Это самый реалистичный сценарий внешней атаки, но и самый долгий: много времени уходит на разведку, и часть внутренних дыр может остаться незамеченной за отведённый срок.
Grey box (серый ящик). Пентестеру дают частичный доступ: например, учётную запись обычного пользователя или схему сети. Это имитирует угрозу со стороны рядового сотрудника, подрядчика или злоумышленника, который уже получил минимальный доступ (через фишинг). Хороший баланс между реалистичностью и глубиной проверки — самый частый формат на практике.
White box (белый ящик). Пентестер получает максимум информации: архитектуру, исходный код, конфигурации, привилегированные доступы. Это самая глубокая проверка — можно проверить систему изнутри и найти то, что снаружи незаметно. Применяется, когда важна максимальная полнота (например, для критичных приложений), а не имитация реального взлома.
Чем пентест отличается от сканирования уязвимостей
Эти два понятия часто путают и даже продают одно под видом другого. Разница принципиальная.
| Параметр | Сканирование уязвимостей | Пентест |
|---|---|---|
| Кто выполняет | Автоматический сканер | Человек (этичный хакер) + инструменты |
| Что даёт | Список потенциальных уязвимостей | Доказательство, что уязвимость реально эксплуатируется |
| Ложные срабатывания | Много — сканер не проверяет реальность | Минимум — каждая находка подтверждается |
| Логические дыры | Не находит | Находит (обход бизнес-логики, цепочки атак) |
| Частота | Регулярно, можно автоматически | Периодически, как проект |
| Стоимость | Ниже | Выше (ручная работа специалиста) |
Сканер уязвимостей — это автоматический инструмент, который сверяет систему с базой известных уязвимостей и выдаёт список «здесь может быть проблема». Он быстрый и дешёвый, его стоит запускать регулярно. Но он не проверяет, можно ли уязвимость реально использовать, не находит логические ошибки и не строит цепочки атак, когда несколько мелких слабостей вместе дают полный захват системы.
Пентест — это ручная работа специалиста, который думает как злоумышленник. Он подтверждает реальные риски, отсекает ложные тревоги сканера и находит то, что автомат пропускает. На практике это не взаимоисключающие, а дополняющие инструменты: сканирование — регулярная гигиена, пентест — глубокая периодическая проверка.
Зачем пентест бизнесу
- Увидеть инфраструктуру глазами атакующего. Понять, через что вас реально могут взломать, до того как это сделает злоумышленник.
- Расставить приоритеты по бюджету ИБ. Отчёт пентеста показывает, какие дыры критичны прямо сейчас, а какие можно закрыть позже — это защищает от траты денег не туда.
- Проверить эффективность уже вложенных средств. Купили межсетевой экран и DLP — а реально ли они держат удар? Пентест отвечает на этот вопрос практикой, а не обещаниями вендора.
- Снизить риск утечки данных и штрафов. С учётом штрафов по 152-ФЗ за утечку персональных данных (для юрлиц — крупные суммы, при повторе оборотные) дешевле найти дыру самим, чем оплачивать последствия.
- Выполнить требования. Для ряда отраслей и при работе с крупными заказчиками пентест бывает требованием регуляторов или контрагентов.
Пентест не заменяет постоянную защиту — это разовый снимок состояния на момент проверки. Чтобы он приносил пользу, его результаты нужно превратить в план устранения дыр и поддерживать защиту между пентестами через мониторинг и регулярное сканирование. О том, как пентест встраивается в общую защиту от утечек, — в материале «Как защитить компанию от утечек данных».
Связанные термины
- [[security-audit]] — аудит ИБ, в рамках которого пентест часто проводится как практическая часть
- [[waf]] — межсетевой экран веб-приложений, устойчивость которого проверяют пентестом
- [[ngfw]] — межсетевой экран нового поколения как рубеж защиты периметра
- [[dlp]] — предотвращение утечек данных, дополняющее защиту от инсайдера
Получить расчёт
Хотите проверить, насколько реально защищена ваша инфраструктура? Начните с аудита ИБ — по его итогам определим, нужен ли пентест и в каком формате (black, grey или white box) под вашу задачу.
Хотите проверить защиту своей инфраструктуры?
Начните с аудита ИБ — определим слабые места и нужен ли пентест. Откройте калькулятор или запросите КП.
Открыть калькулятор Получить КП