Мы уже рассказали, что такое анализ защищённости и кому он подходит. На очереди тестирование на проникновение – это ещё один инструмент аудита информационной безопасности, который подойдёт компаниям на среднем уровне зрелости ИБ (про уровни зрелости читайте тут).



Тестирование на проникновение (анг. penetration testing), или просто пентест, – это когда вы платите за взлом своей же инфраструктуры.



А что так можно?

Да, если вас будут взламывать хорошие ребята с богатым опытом в этом деле.



А зачем?

Чтобы плохие ребята потом не смогли вам навредить. Проще говоря, хочешь защититься от хакера – думай, как хакер.



Даже небольшой баг – это потенциальная уязвимость, уязвимость – это риск, а реализация рисков – это потеря ресурсов. И именно пентестинг помогает найти слабые места, которые способны причинить вред организации.



Но мы же провели анализ защищённости уже, разве это не помогло?

Анализ защищённости действительно находит большое количество дыр, но при этом он не позволяет оценить степень опасности каждой конкретной баги. А вот пентест как раз позволяет погрузиться как можно глубже в каждый конкретный кейс и понять, позволит эта уязвимость проникнуть в инфраструктуру организации и навредить ей или нет.



По итогам добровольного взлома пентеста формируется отчёт с рекомендациями по повышению уровня защищённости. И мы очень надеемся, что все компании, которые заказывают себе тестирование на проникновение, потом используют эти рекомендации на практике. Потому каждый раз, когда отчёт нужен для формальности и задвигается в дальний ящик, где-то грустит команда пентестеров, которые тщательно и с любовью разрабатывали эти рекомендации по защите.