Защита мобильных устройств

Хакинг и тестирование на проникновение

Grey Hat           специалисты, обеспечивающие ИБ


В мире компьютерных технологий хакерами называют людей, обладающими глубокими познаниями в области обеспечения информационной безопасности (ИБ), которые делятся на 3 категории: White Hat, Grey Hat и Black Hat. безопасность web сервера Остановимся более подробно на каждом из них.
White Hat специалисты в области ИБ (энтузиасты, сотрудники компаний), цель которых защитить ИТ систему от злоумышленников. В своей деятельности белые шляпы реализуют различные механизмы защиты, такие как системы предотвращения вторжений, мониторинг сетевой активности, контроль доступа к компонентам IT и т.д. White Hat (они же этичные хакеры) обладают знаниями и навыками злоумышленников (также известных как Black Hat), но используют такие знания исключительно в целях защиты ресурсов.
Black Hat злоумышленники, обладающие глубокими знаниями в области ИБ, но использующие их с плохим умыслом, например, с целью хищения и порчи данных. этичный хакинг Когда происходит такой инцидент, говорят, что сис скомпрометирована.
Grey Hat специалисты, обеспечивающие ИБ, однако, по ситуации, способны выполнить компрометацию системы без разрешения. Наверное, фраза каждый White немного подблэкивает относится именно к Grey Hat.
С определениями разобрались. безопасность linux сервера Теперь стоит понять, что такое тестирование на проникновение (penetration testitng, пентест), и для чего оно нужно.
Итак, пентест это тестирование на проникновение информационных ресурсов с разрешения владельца таких ресурсов. облачные технологии и защита информации Такие процедуры необходимы для оценки состояния защищенности IT-структуры компании.
Говорят: Если взлом под силу пентестеру, то под силу и блэку. Тестирование на проникновение предполагает, что атакующий (специалист, выполняющий пентест), пытается атаковать IT-ресурсы компании, используя обнаруженные уязвимости. безопасность сайта Кстати, уязвимости могут быть не только техническими, но и связанными с человеческим фактором (это уже область социальной инженерии). Популярный пример социальной инженерии поиск выброшенной важной информации (логинов, паролей) в урну, телефонный звонок сотрудникам атакуемой компании и получение от них такой информации путём ввода в заблуждение (например, звонок под видом специалиста тех.поддержки интернет-провайдера). проверить безопасность сервера Пентестер использует те же методики, что и блэк, но с благой целью: выявить и устранить уязвимые места в IT-структуре компании.

После окончания тестирования на проникновение руководству компании передаётся подробный отчёт о найденных уязвимостях.
Кстати, различают три вида тестирования на проникновение:
White Box: атакующему доступна вся информация тестируемых компонентов информационных ресурсов компании;
Black Box: доступна только минимальная информация;
Grey Box: информация об инфраструктуре компании доступна частично.
Поскольку пентестеры это этичные хакеры, любое тестирование на проникновение начинается с подписания документов, в том числе подписания соглашения о неразглашении (NDA) и разрешения от владельца ресурсов на проведение пентеста. безопасность веб сервера Профессиональный пентестер специалист не только в области ИБ с глубокими познаниями, но и отличный психолог, умеющий в случае отсутствия технической возможности взлома воспользоваться уязвимостями, связанными с человеческим фактором. Путь пентестера это долгий путь от начинающего ИТ-специалиста до профессионального White Hat. безопасность www серверов Пентестер это прежде всего исследователь и фанат ИБ.
Существуют множество литературы и курсов по подготовке этичных хакеров, однако любые знания должны быть закреплены практикой. Для этих целей разрабатываются специальные пентест-лаборатории, в которых можно получить бесценный опыт проведения тестирования на проникновение. Это полностью легально, а дух соперничества за призовые места добавляет дополнительный стимул в этом нелегком добром хакерском деле!
Автор: Романов Роман, сертифицированный этичный хакер, руководитель лабораторий тестирования на проникновение PentestIT и главная радость своей мамы.

Похожие статьи Pentest