Чек-лист: на какие вопросы ответить перед пентестом

Когда после сканирования в отчете не появляется новых уязвимостей, можно заказать тестирование на проникновение. Но до начала пентеста важно решить несколько вопросов.

Какую часть инфраструктуры проверить?

При внешнем пентесте специалист ищет уязвимости внешней инфраструктуры. Такой тест показывает, как реальный хакер может проскользнуть внутрь.

При внутреннем — работает из определенной точки внутри инфраструктуры. В итоге становится ясно, как преступник может навредить уже после проникновения.

Каким методом действовать пентестеру?

• Метод «черного ящика». Похож на реальную атаку. Пентестер моделирует преступника, который ничего не знает о системе.
• Метод «серого ящика». Имитирует инсайдерскую атаку, когда у хакера есть знания о системе или доступ рядового пользователя.

Какой скоуп выдать пентестеру?

При внешнем пентесте методом «черного ящика» специалисту достаточно имени организации, а методом «серого» — пригодятся списки IP-адресов и доменных имен. 

Для внутреннего пентеста нужен как минимум доступ к точке старта. Для работы on-site понадобится доступ к сетевой розетке. При удаленной работе — удаленный VPN-доступ.

Как поставить задачу команде?

Важно обсудить конкретную задачу:

• Пройти из внешнего периметра во внутренний.
• Получить учетную запись администратора домена. 
• Завладеть доступом к личным данным клиентов.
• Найти уязвимость, которая позволит «выключить» главный сайт компании.

Пентест пройден. После — Red Teaming?

Услуги типа Red Teaming после пентеста нужны не всем. Они пригодятся только той компании, где работает центр мониторинга SOC, потому что предполагают тренировку Blue Team.

Если Red Teaming не нужен, устраните уязвимости, которые выявил пентест, и повторите диагностику через год. Проводите пентесты после значительных изменений инфраструктуры или ежегодно.