Тест на проникновение , в просторечии известный как пентест или этический взлом , представляет собой санкционированную симуляцию кибератаки на компьютерную систему, выполняемую для оценки безопасности системы; [1] [2] это не следует путать с оценкой уязвимости . [3] Тест проводится для выявления слабых сторон (или уязвимостей ), включая возможность получения неавторизованными сторонами доступа к функциям и данным системы, [4] [5] , а также сильных сторон, [6] позволяющих провести полную оценку риска . быть законченным.
В процессе обычно определяются целевые системы и конкретная цель, затем анализируется доступная информация и применяются различные средства для достижения этой цели. Целью теста на проникновение может быть белый ящик (о котором тестировщику заранее предоставляется предыстория и системная информация) или черный ящик (о котором предоставляется только базовая информация, кроме названия компании). Тест на проникновение «серого ящика» представляет собой комбинацию этих двух методов (когда аудитору предоставляются ограниченные знания об объекте). [7] Тест на проникновение может помочь выявить уязвимости системы для атак и оценить, насколько она уязвима. [8] [6]
О проблемах безопасности, обнаруженных тестом на проникновение, следует сообщать владельцу системы. [9] Отчеты о тестах на проникновение также могут оценивать потенциальное воздействие на организацию и предлагать контрмеры для снижения риска. [9]
Национальный центр кибербезопасности Великобритании описывает тестирование на проникновение как «метод получения уверенности в безопасности ИТ-системы путем попытки частично или полностью нарушить безопасность этой системы, используя те же инструменты и методы, что и злоумышленник». [10]
Цели теста на проникновение различаются в зависимости от типа одобренной деятельности для любого конкретного взаимодействия, при этом основная цель сосредоточена на обнаружении уязвимостей, которые могут быть использованы злоумышленником, и информировании клиента об этих уязвимостях вместе с рекомендуемыми стратегиями смягчения последствий. [11]
Тесты на проникновение являются компонентом полного аудита безопасности . Например, стандарт безопасности данных индустрии платежных карт требует проведения регулярного тестирования на проникновение и после внесения изменений в систему. [12] Тестирование на проникновение также может способствовать оценке рисков, как указано в NIST Risk Management Framework SP 800-53. [13]