0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: уязвимости, пентест</p>
1
<p>Теги: уязвимости, пентест</p>
2
<p>Как известно, существуют разные способы проверить защищенность системы. К примеру, совсем недавно мы рассказывали про плюсы и минусы<a>сканирования на наличие уязвимостей</a>. Сейчас вкратце рассмотрим преимущества и недостатки<strong>ручного пентеста</strong>.</p>
2
<p>Как известно, существуют разные способы проверить защищенность системы. К примеру, совсем недавно мы рассказывали про плюсы и минусы<a>сканирования на наличие уязвимостей</a>. Сейчас вкратце рассмотрим преимущества и недостатки<strong>ручного пентеста</strong>.</p>
3
<p>На практике соответствующие тесты на проникновение выполняются вручную силами сотрудников компании. Также для этих целей могут привлекаться различные внешние консультанты. Главная задача -- оценить защищенность инфраструктуры организации посредством ее безопасного взлома. В результате проверяются уязвимости служб, приложений, операционных систем. Также проверяются неправильные конфигурации либо имитируются случаи неосторожного поведения пользователей.</p>
3
<p>На практике соответствующие тесты на проникновение выполняются вручную силами сотрудников компании. Также для этих целей могут привлекаться различные внешние консультанты. Главная задача -- оценить защищенность инфраструктуры организации посредством ее безопасного взлома. В результате проверяются уязвимости служб, приложений, операционных систем. Также проверяются неправильные конфигурации либо имитируются случаи неосторожного поведения пользователей.</p>
4
<p>Говоря простым языком, осуществляется атака на сеть, устройства и приложения с целью определить, а смогут ли хакеры выполнить такой взлом. По итогу пентестинга становится понятно, насколько глубоко может проникнуть условный злоумышленник, а также какие объемы данных он сможет украсть/использовать в собственных целях.</p>
4
<p>Говоря простым языком, осуществляется атака на сеть, устройства и приложения с целью определить, а смогут ли хакеры выполнить такой взлом. По итогу пентестинга становится понятно, насколько глубоко может проникнуть условный злоумышленник, а также какие объемы данных он сможет украсть/использовать в собственных целях.</p>
5
<h2>Плюсы:</h2>
5
<h2>Плюсы:</h2>
6
<ol><li>Можно выявить слабые места, не заметные при<a>сканировании на уязвимости</a>.</li>
6
<ol><li>Можно выявить слабые места, не заметные при<a>сканировании на уязвимости</a>.</li>
7
<li>Удается обнаружить критические проблемы с инфраструктурой.</li>
7
<li>Удается обнаружить критические проблемы с инфраструктурой.</li>
8
<li>Это неплохое испытание для средств, обеспечивающих сетевую безопасность.</li>
8
<li>Это неплохое испытание для средств, обеспечивающих сетевую безопасность.</li>
9
<li>Можно использовать практически любые технологии атаки, включая те, что появились накануне проверки.</li>
9
<li>Можно использовать практически любые технологии атаки, включая те, что появились накануне проверки.</li>
10
<li>По итогу пентестинга создается результирующий отчет, помогающий устранить уязвимости.</li>
10
<li>По итогу пентестинга создается результирующий отчет, помогающий устранить уязвимости.</li>
11
</ol><h2>Минусы:</h2>
11
</ol><h2>Минусы:</h2>
12
<ol><li>Качество и полнота результатов во многом зависят от опыта и знаний специалиста по ручному пентестингу.</li>
12
<ol><li>Качество и полнота результатов во многом зависят от опыта и знаний специалиста по ручному пентестингу.</li>
13
<li>Ограниченная тестовая среда не дает возможности использовать все средства, доступные реальному хакеру.</li>
13
<li>Ограниченная тестовая среда не дает возможности использовать все средства, доступные реальному хакеру.</li>
14
<li>Результирующий отчет придется подождать, что может занять неделю и даже месяц(ы).</li>
14
<li>Результирующий отчет придется подождать, что может занять неделю и даже месяц(ы).</li>
15
<li>Даже опытный специалист не в силах проверить абсолютно все существующие и хорошо ему известные технологии атаки.</li>
15
<li>Даже опытный специалист не в силах проверить абсолютно все существующие и хорошо ему известные технологии атаки.</li>
16
<li>Так как все аспекты системы не проверяются, то и полная картина будет отсутствовать (в частности, невозможно проверить весь исходный код, все web-службы, web-страницы, параметры, декомпилированные программы и пр.).</li>
16
<li>Так как все аспекты системы не проверяются, то и полная картина будет отсутствовать (в частности, невозможно проверить весь исходный код, все web-службы, web-страницы, параметры, декомпилированные программы и пр.).</li>
17
<li>Результаты ручного пентестинга отражает фактическое состояние системы в конкретный момент времени. А раз высока не только продолжительность, но и стоимость данного вида тестирования, то и выполнять его достаточно часто не получится.</li>
17
<li>Результаты ручного пентестинга отражает фактическое состояние системы в конкретный момент времени. А раз высока не только продолжительность, но и стоимость данного вида тестирования, то и выполнять его достаточно часто не получится.</li>
18
</ol><p><em>По материалам<a>блога компании TS Solution</a>.</em></p>
18
</ol><p><em>По материалам<a>блога компании TS Solution</a>.</em></p>
19
19