Pentest

Введение

Pentest (Penetration Testing, тест на проникновение) – санкционированная симуляция атаки на информационную систему с целью выявления уязвимостей, оценки их критичности и предоставления рекомендаций по устранению. Пентест показывает, что произойдёт, если реальный злоумышленник воспользуется теми же методами.

Пентест – обязательный элемент оценки безопасности в требованиях PCI DSS, ISO 27001, ГОСТ Р 57580.1 (банковская безопасность), а также условием получения ряда сертификаций. В России проведение пентеста лицензируется ФСТЭК при работе с ГИС и ИСПДн.

История и контекст

Первые пентесты проводились в конце 1960-х в рамках государственных исследований по безопасности ЭВМ (Tiger Teams). Коммерческий рынок пентестов сформировался в 1990-х. Методологии OWASP (2001, для веб-приложений), PTES (Penetration Testing Execution Standard, 2010) и NIST SP 800-115 стандартизировали подходы к проведению работ.

Виды пентеста

• Black Box – пентестер не имеет информации о системе (как реальный атакующий). Максимально реалистично, но занимает больше времени.
• White Box – пентестер получает полную документацию, исходный код, схемы сети. Позволяет покрыть максимум уязвимостей.
• Grey Box – частичная информация (учётная запись пользователя, схема сети). Баланс реализма и полноты покрытия.

По области применения: сетевой пентест, пентест веб-приложений (OWASP Top 10), пентест мобильных приложений, социальная инженерия (фишинг-кампании), физический пентест (попытка проникновения в здание).

Методология пентеста

1. Планирование – согласование scope, методов, временных окон, Rules of Engagement.
2. Разведка (Reconnaissance) – OSINT, сканирование портов, анализ технологического стека.
3. Сканирование уязвимостей – Nessus, OpenVAS, специализированные сканеры.
4. Эксплуатация – попытка использования обнаруженных уязвимостей (Metasploit, PoC).
5. Постэксплуатация – повышение привилегий, lateral movement, достижение цели.
6. Отчётность – детальный отчёт с CVSS-оценками, PoC и рекомендациями.

Где применяется

• Банки и финансовые организации (ГОСТ Р 57580.1 требует ежегодный пентест).
• Веб-сервисы перед запуском и при значительных изменениях.
• Государственные ИС при аттестации.
• Программы Bug Bounty – непрерывный краудсорсинговый пентест.

Связь с другими понятиями

Пентест выявляет конкретные CVE и оценивает их по CVSS. Использует MITRE ATT&CK для структурирования методов. Отличается от Red Team (глубина, длительность, scope). Результаты информируют Патч-менеджмент и Vulnerability Scan.