Ce este Pentest (pentest) - concepte generale - Administrație - Editura -
Ce este Pentest? (Pentest)
Ce este Pentest? (Pentest)
Probleme de securitatea informațiilor în timpul nostru în cauză cu privire la orice companie normală, și, în principiu, chiar și între organizațiile guvernamentale și non-guvernamentale sunt cei care privesc în această privință, să zicem, nu este deloc străin. Cu toate acestea, pentru a cumpăra software specializat, angaja pe cineva pentru a configura sistemul și actualizați-l din când în când - nu este tot ceea ce este necesar pentru ca acesta să funcționeze cu succes și îndeplini funcția ei. În scopul de a determina ce altceva ce trebuie să faci, și acolo Pentest. Faptul că este și ceea ce, metaforic vorbind, să le mănânce, și vom vorbi astăzi în secțiunea „F.A.Q.“.
Pentest - un model din limba engleza pentest, care stă ca un test de penetrare, sau, în limba română, un test de penetrare. În timpul unei astfel de tester de specialitate de testare aranjează psevdoataku în rețeaua corporativă, de așteptare acțiuni de criminali reale sau atac efectuat de un anumit software rău intenționat, fără implicarea directă a cracare. Scopul acestor teste este, desigur, în primul rând, identificarea punctelor slabe în protecția rețelei corporative de la aceste atacuri și deci eliminarea utilizării constatate în timpul Pentest lacune.
Există două tipuri de pentestirovaniya: testarea de „cutie neagră“ de testare și „alb-box“. În primul caz, după cum puteți ghici, experții care efectuează testele, au la dispozitie informațiile sale cu privire la structura internă de protecție, chiar și cu privire la infrastructura de rețea. În al doilea caz, dimpotrivă, acestea sunt disponibile în aproape toate aceste informații. Există opțiuni intermediare, atunci când despre rețea și despre apărarea știe încă ceva, dar nu aproape la fel de mult ca ne-am dori. Ele nu sunt fără umor, numit „testare gri-box“. Beneficiile fiecărui tip de încercare fiind discutate în mod activ de către experți, dar cele mai multe dintre ele sunt de acord că cea mai bună opțiune este utilizarea de teste și pentru negru și pentru cutiile albe.
Adesea, o astfel de testare este adaptabilă pentru automatizare, și, în general, în mare măsură eforturile pentesterov sunt îndreptate automatizarea maximă a activității sale. Acest interes și clienții, deoarece testarea automata, desigur, este mai ieftin decât manual.
Recent Pentest circuit de aplicare pentru detectarea punctelor slabe în sistemul de protecție al companiei a criticat frecvent cei care folosesc Pentest, iar cei care nu doresc să le folosească. Cele mai frecvente argumente ale adversarilor Pentest - o lipsă de completitudine (de exemplu, nimeni nu poate garanta că Pentest a dezvăluit toate găurile din sistemul de securitate), incapacitatea de a controla activitățile pentesterov, precum și lipsa de garanții, care a găsit o „gaură“ nu este utilizat de pentesterami pentru a fura informații de la client. Cu toate acestea, în timp ce cei care folosesc Pentest pentru a spori propria lor protecție, trebuie să pună cu toate dezavantajele inerente acestei metode, pentru că astăzi alternative bune la acesta, în general, nu este de așteptat.
În prezent, există o mulțime de metodologii standardizate pentru Pentest, cum ar fi GWAPT, IEM, OWASP. Dacă doriți să rezervați cineva Pentest ar fi mai bine dacă munca pe care cineva va fi ghidat de instrucțiunile stabilite în oricare dintre aceste standarde.