CyberGlossary

Защита и операции

Тестирование на проникновение

Также известно как: Пентест, Этичный хакинг

Определение

Санкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.

Тестирование на проникновение (пентест) — это целевая оценка безопасности, при которой квалифицированные специалисты пытаются преодолеть защиту организации, используя те же инструменты и техники, что и настоящие злоумышленники. Каждый проект имеет чётко определённую область охвата, правила проведения и письменное разрешение; он может охватывать сети, веб- и мобильные приложения, облачные рабочие нагрузки, API, физические объекты или сотрудников через социальную инженерию. В отличие от автоматического сканирования, пентест доказывает эксплуатируемость, объединяя находки в цепочки, чтобы продемонстрировать бизнес-влияние — утечку данных или захват домена. Результаты используются для устранения уязвимостей, проверки эффективности контролей и подтверждения соответствия PCI DSS, HIPAA, ISO 27001.

Примеры

  • Внешний сетевой пентест: первоначальный доступ через уязвимый VPN-шлюз и эскалация до администратора домена.
  • Пентест веб-приложения: связка IDOR и хранимого XSS приводит к захвату административных учётных записей.

Связанные термины