Тест на проникновение , в просторечии известный как тест на проникновение или этический взлом , представляет собой санкционированную смоделированную кибератаку на компьютерную систему, выполняемую для оценки безопасности системы; [1] [2] это не следует путать с оценкой уязвимости . [3] Тест проводится для выявления слабых мест (также называемых уязвимостями), в том числе возможности получения неавторизованными сторонами доступа к функциям и данным системы, [4] [5] , а также сильных сторон, [6] позволяющих необходимо провести полную оценку рисков .
Процесс обычно определяет целевые системы и конкретную цель, затем анализирует доступную информацию и использует различные средства для достижения этой цели. Целью теста на проникновение может быть белый ящик (о котором справочная и системная информация предоставляется тестировщику заранее) или черный ящик (о котором предоставляется только основная информация, если таковая имеется, кроме названия компании). Тест на проникновение серого ящика представляет собой комбинацию двух методов (когда аудитору передаются ограниченные знания о цели). [7] Тест на проникновение может помочь определить уязвимость системы для атак и оценить, насколько она уязвима. [8] [6]
О проблемах безопасности, которые выявляет тест на проникновение, следует сообщать владельцу системы. [9] Отчеты о тестировании на проникновение могут также оценивать потенциальное воздействие на организацию и предлагать контрмеры для снижения риска. [9]
Национальный центр кибербезопасности Великобритании описывает тестирование на проникновение как: «Метод получения уверенности в безопасности ИТ-системы путем попытки взлома некоторых или всех систем безопасности с использованием тех же инструментов и методов, что и злоумышленник». [10]
Цели теста на проникновение варьируются в зависимости от типа утвержденной деятельности для любого конкретного взаимодействия, при этом основная цель сосредоточена на поиске уязвимостей, которые могут быть использованы злоумышленником, и информировании клиента об этих уязвимостях вместе с рекомендуемыми стратегиями смягчения последствий. [11]
Тесты на проникновение являются составной частью полного аудита безопасности . Например, стандарт безопасности данных индустрии платежных карт требует регулярного тестирования на проникновение и после внесения изменений в систему. [12] Тестирование на проникновение также может помочь в оценке рисков, как указано в NIST Risk Management Framework SP 800-53 . [13]