Испытание на проникновение

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Испытание на проникновение (жарг. Пентест) — метод оценки безопасности информационных систем или сетей средствами моделирования атаки злоумышленника. Метод включает в себя активное исследование системы на наличие уязвимостей, которые могут спровоцировать неправильную работу целевой системы, либо полный отказ в обслуживании. Исследование ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Итогом работы является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать советы по их устранению. Цель испытаний на проникновение — оценить возможность его осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности. Специалист, проводящий испытание на проникновение, называется пентестером.

Открытые и закрытые системы[править | править код]

В основе испытаний на проникновение могут лежать несколько различных методик. Основными отличиями является наличие информации об исследуемой системе. При проверке закрытых систем (систем вида чёрный ящик) атакующий не имеет первоначальных сведений об устройстве атакуемой цели. Первоначальная задача такого вида проверки — сбор необходимой информации о расположении целевой системы, её инфраструктуры. Помимо закрытых систем существуют открытые (доступна полная информация о целевой системе), и полузакрытые (имеется лишь частичная информация).

Целевые системы[править | править код]

К целевым системам относятся информационные системы c доступом из сети Интернет. Испытание на проникновение должно проводиться до запуска целевой системы в массовое использование. Это даёт определённый уровень гарантии, что любой атакующий не сможет нанести вред, прямой или косвенный, работе исследуемой системы.

См. также[править | править код]

Ссылки[править | править код]