Классическое тестирование на проникновение концентрируется на нахождении способов обхода имеющейся комплексной защиты, т. е. когда есть уверенность в определенном уровне безопасности. Но идеальной защиты не бывает, поэтому имеет смысл периодически осуществлять поиск возможностей обхода. Чем больше времени тратится на проверку, тем больше (и более изощренных) способов будет найдено. Поэтому качественно обходить имеющуюся защиту — не самая дешевая услуга.
Однако, часто защита есть, но она не выстраивалась комплексно для достижения определенного уровня безопасности. Может оказаться, что какие-то части защищены неплохо, а другие нет. Но для проникновения бывает достаточно одного слабого "звена". Это и хочется проверить. В этом случае по соотношению цена/качество лучшим вариантом будет другая услуга. Нам скорее нужно быть максимально похожими на нападающего и проверить все возможные варианты нелегитимного попадания внутрь: эксплуатация уязвимостей, фишинг, подбор паролей и т. д.
Процесс пентеста здесь схож с классическим, но при этом пентестер не углубляется в постэксплуатацию каждого сработавшего вектора. В классическом варианте после прохождения периметра пентестер продолжает атаки внутри сети и пробует добраться до важных данных или сервисов. Это, как правило, занимает больше половины времени всего пентеста. В текущем варианте мы считаем, что если атаки успешны, и мы прошли за периметр, то это уже большая проблема для компании. В реальности нарушитель, может быть, в ряде случаев и не доберется до важных данных, но он может, например, продать доступ тому, кто доберется, или отложить атаку на будущее. Т.к. цель — проверить именно подверженность атакам, то не имеет смысла тратить много времени и денег для продолжения этих атак. Поэтому мы на этом останавливаемся и концентрируемся на проработке других, наиболее вероятных и эксплуатируемых векторов атак. Стоит отметить, что для данной услуги периметр может быть как внешним, так и внутренним (главным образом, в случае отсутствия защиты от социальной инженерии).
Выделение такого варианта в отдельную услугу встречается редко на рынке в силу того, что долгое время заказ услуг по тестированию на проникновение был прерогативой компаний с хорошо выстроенной системой информационной безопасности и высокими инвестициями в защиту. Но ситуация меняется, и мы считаем, что выделение данного варианта тестирования на проникновение необходимо для рынка. Поэтому в Акрибии мы разработали данную услугу как самостоятельный вариант со своей методикой проведения.
Оба варианта пентеста имеет смысл выполнять регулярно для поиска новых векторов в изменяющейся инфраструктуре и контроля динамики, а также это можно делать в случайные моменты времени (как сервис) для наиболее полного соответствия реальному нарушителю.