Пентестер
Пенте́стер (англ. penetration testing) (другое название — этичный или белый хакер, white hat) ― специалист по информационной безопасности, занимающийся тестированием компьютерных систем, сетей и приложений на уровень защищённости от нежелательного проникновения.
Общие сведения о профессии
Для проверки защищённости компьютерной системы специалисты по кибербезопасности проводят тесты на проникновение, при которых моделируется реальная атака хакера[1]. Они помогают «закрыть» любые уязвимости: от утечки персональных данных до багов приложений, до того, как их обнаружат хакеры.
Также пентестеры проверяют систему на соответствие стандартам, анализируют эффективность реакции средств мониторинга и реагирования на атаки. Помимо этого, специалисты обучают персонал определять и выявлять реальные взломы системы и грамотно их предотвращать.
В отличие от тестеров, занимающихся оценкой уязвимостей, пентестеры ищут ошибки и методы обхода доступа в активных системах. Они пытаются проникнуть в систему с помощью хакерских методов и ищут в ней баги и уязвимости[2].
Пентестеры занимаются поиском и анализом уязвимостей в различных системах: мобильных банках, веб-приложениях, внутренней инфраструктуре и на внешних границах. По окончании тестирования они составляют отчёты, содержащие чёткие рекомендации по возможности проникновения в систему и устранению уязвимостей[3].
Задачи
- Фиксация уязвимых мест в системе;
- Формулировка рекомендаций для повышения безопасности;
- Предотвращение реальных угроз;
- Отслеживание несанкционированных доступов в систему;
- Мониторинг рисков утечки информации[2].
Разновидности
- Редтимеры (red teamers) — атакующие. Задача — имитация атаки на систему. Цель — проверка эффективности системы защиты и действий сотрудников по обнаружению и предотвращению вторжения.
- Блютимеры (blue teamers) — защищающие. Реагируют на инциденты, тем самым укрепляют безопасность системы путём предотвращения атак.
- Внутренние (internal penetration testers). Работают внутри организации. Проводят пентесты для оценки безопасности её внутренних систем. В ходе тестов анализируют уязвимости, которые могут быть связаны с внутренними сетями, работой сотрудников, доступом и другими внутренними аспектами.
- Внешние (external penetration testers). Тестирование проводится человеком, не связанным с организацией.
- Специалисты по безопасности приложений. Основная задача — выявлять уязвимости в мобильных и веб-приложениях.
- Физические пентестеры. Подделывая пропуска, выдавая себя за курьеров или соискателей, договариваясь с охранниками и персоналом пытаются физически попасть на объект заказчика с целью проверки внутренних систем безопасности и выявления уязвимых мест в защите.
- Эксперты по беспроводным сетям. Исследуют и тестируют уязвимости, связанные с протоколами беспроводной связи, находясь в её зоне действия.
- Аудиторы. Проверяют системы безопасности на соответствие требованиям законодательства, нормативным документам и внутренней политике организации[4].
Виды пентестов
Существуют три вида проведения пентестов, отличающиеся количеством информации о системе, изначально имеющейся у пентестера[5].
У пентестера имеется полная информация о системе: устройство сети, средства защиты, исходный код, процессы и др.
Сотрудники организации заранее оповещаются о проведении тестирования системы.
| Плюсы | Минусы |
|---|---|
| Полный доступ к внутреннему устройству и дизайну системы | Полное сотрудничество с клиентом |
| Тестирование системы на всех уровнях с использованием всех составляющих | Тестирование требует длительного времени |
| Глубокое понимание системы и возможность оптимизировать безопасность | Требует больших затрат |
Отсутствие изначальных знаний о системе. Тестировщик самостоятельно ищет информацию и изучает систему.
| Плюсы | Минусы |
|---|---|
| Имитация реальных условий работы хакера пытающегося взломать систему,
не имея достаточной информации о ней |
Неполное представление о внутренней структуре и особенностях системы |
| Оценка качества защиты системы от внешних атак | Возможность пропуска уникальных уязвимостей, требующих глубокого понимания системы |
| Независимость и объективность тестирования без предварительного знакомства с системой | Возможность ложных срабатываний, не связанных с наличием уязвимостей |
Изначально тестировщик имеет ограниченную информацию о системе.
| Плюсы | Минусы |
|---|---|
| Совмещение преимущества исследования с уже имеющимися знаниями о системе | Возможность пропуска отдельных особенностей системы. Пропуск уникальных уязвимостей |
| Возможность проверить систему с разных уровней доступа | Проблемы с определением объёма информации, доступной для проверки |
| Реалистичное моделирование атаки, основанное на неполной информации о системе | Необходимо дополнительное согласование и сотрудничество с клиентом |
Необходимые знания и навыки
- Сетевые модели OSI и TCP/IP,
- Языки HTML, CSS и JavaScript,
- WebSocket,
- концепции и стандарты безопасности CORS, cookies и др.
- Язык PHP или Python.
- Фреймворки (Django, Flask, Laravel),
- CMS (WordPress, Joomla, Drupal, Magento, PrestaShop).
- Основы работы: установка, администрирование, работа в терминале Bash.
- Управление пользователями и правами доступа,
- Сетевая безопасность в Linux,
- Защита и мониторинг,
- Уязвимости и эксплойты,
- Логирование и анализ событий,
- Скриптинг и автоматизация[6].
- Архитектура и функциональность Windows Server,
- Управление аккаунтами и политиками безопасности,
- Защита и мониторинг,
- Уязвимости и эксплойты,
- Логирование и анализ событий,
- Основы PowerShell.
Основы криптографии — шифрование, хеширование, цифровые подписи и асимметричное шифрование. Алгоритмы шифрования — AES, RSA, ECC.
Математика — алгебра, теория чисел, модулярная арифметика и дискретная математика.
Криптографические протоколы — SSL/TLS, IPsec, SSH.
Криптоанализ и инструменты криптоанализа[5].
Учебные заведения
Начать карьеру в области пентестинга проще тем, кто уже имеет опыт работы в IT-сфере. Навыки пентеста можно освоить на специализированных курсах, которые помогут получить базовую теоретическую подготовку.
Желающие стать пентестером могут получить образование в вузе по направлениям «Информационная безопасность» 10.03.01 или «Компьютерная безопасность» 10.05.01.
- Военный учебный центр ДВФУ — Компьютерная безопасность (10.05.01)
- Московский институт электроники и математики им. А.Н. Тихонова НИУ ВШЭ — Компьютерная безопасность (10.05.01)
- Факультет радиотехники и кибернетики МФТИ — Компьютерная безопасность (10.05.01)
- Институт микроприборов и систем управления МИЭТ — Информационная безопасность (10.03.01)
Известные пентестеры
- Кевин Митник — некогда самый разыскиваемый киберпреступник, в 1990-х взламывавший сервера американских ведомств и компаний, включая Apple, IBM и FedEx. После освобождения из тюрьмы в 2003 году консультировал компании по вопросам информационной безопасности.
- Джон Джексон — бывший инженер морской пехоты, работающий в сфере кибербезопасности. Основатель хакерской группы Sakura Samurai[7].
Примечания
Литература
- Шкрадюк А. Д. Оценка безопасности информационных систем с помощью тестирования на проникновение // Умная цифровая экономика. — 2022. — № 4.
- Ж А. Аксенова, О В. Ищенко, Е В. Зенцева. Аудит информационных систем с целью проверки уровня их безопасности посредством взлома // Естественно-гуманитарные исследования. — 2021. — № 3 (35). — doi:10.24412/2309-4788-2021-11159.
- Киздермишов Асхад Асланчериевич. К вопросу о построении модели нарушителя правил разграничения доступа к пользовательским информационном ресурсам // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. — 2015. — № 2 (161).
- Багдасаров Даниэль Михайлович. METASPLOIT как проект компьютерной безопасности // Столыпинский вестник. — 2022. — № 4.
- Ольга Красильникова. Головотяпство со взломом // Бизнес-журнал. — 2016. — № 6-7 (242).
- Лучшие инструменты пентестера: отладчики и дизассемблеры. «Хакер» (20 января 2010). Дата обращения: 22 января 2016.
