"Тестирование на проникновение как способ оценки защищенности компьютерной сети"

Денис Муравьев, Генеральный директор группы компаний «4х4 бюро профессиональных услуг»Тестирование на проникновение (penetration testing, пентест) является одной из разновидностей аудита информационной безопасности и относится к популярным во всем мире услугам ИБ. Задачей аудиторов является санкционированное проникновение через существующие средства защиты. То есть аудитор играет роль потенциального злоумышленника.

Зачем же нужны подобные аудиты? Профессионалы и гуру менеджмента ИБ давно ломают копья на тему: «приносит ли пентест пользу?». Однозначных выводов нет до сих пор. Есть как защитники пентестов, так и их горячие противники, которые считают, что пентест не может адекватно проиллюстрировать состояние ИБ, да и не зачем его проводить, так как безопасники и так все знают. Автор, который участвовал более чем в 100 проектов по тестированию на проникновение, является сторонником версии, что пентесты все же полезны. В целом, можно выделить четыре случая, в которых организации заказывают подобные услуги:

Требуется доказать несостоятельность защиты;

Придать импульс ИБ внутри организации;

Проконтролировать текущую ситуацию, получить независимую оценку;

Обязательные случаи, предписываемые комплайенсом.