Защита мобильных устройств

Путь пентестера это долгий путь от начинающего ИТ-специалиста до профессионального White Hat

Grey Hat           специалисты, обеспечивающие ИБ


В мире компьютерных технологий хакерами называют людей, обладающими глубокими познаниями в области обеспечения информационной безопасности (ИБ), которые делятся на 3 категории: White Hat, Grey Hat и Black Hat

Остановимся более подробно на каждом из них.


White Hat специалисты в области ИБ (энтузиасты, сотрудники компаний), цель которых защитить ИТ систему от злоумышленников. В своей деятельности белые шляпы реализуют различные механизмы защиты, такие как системы предотвращения вторжений, мониторинг сетевой активности, контроль доступа к компонентам IT и т.д. White Hat (они же этичные хакеры) обладают знаниями и навыками злоумышленников (также известных как Black Hat), но используют такие знания исключительно в целях защиты ресурсов.


Black Hat злоумышленники, обладающие глубокими знаниями в области ИБ, но использующие их с плохим умыслом, например, с целью хищения и порчи данных. этичный хакинг Когда происходит такой инцидент, говорят, что сис скомпрометирована.


Grey Hat специалисты, обеспечивающие ИБ, однако, по ситуации, способны выполнить компрометацию системы без разрешения. Наверное, фраза каждый White немного подблэкивает относится именно к Grey Hat.



Итак, пентест это тестирование на проникновение информационных ресурсов с разрешения владельца таких ресурсов.

Такие процедуры необходимы для оценки состояния защищенности IT-структуры компании.


Говорят: Если взлом под силу пентестеру, то под силу и блэку. Тестирование на проникновение предполагает, что атакующий (специалист, выполняющий пентест), пытается атаковать IT-ресурсы компании, используя обнаруженные уязвимости.

Кстати, уязвимости могут быть не только техническими, но и связанными с человеческим фактором (это уже область социальной инженерии).

Популярный пример социальной инженерии поиск выброшенной важной информации (логинов, паролей) в урну, телефонный звонок сотрудникам атакуемой компании и получение от них такой информации путём ввода в заблуждение (например, звонок под видом специалиста тех.поддержки интернет-провайдера).

Пентестер использует те же методики, что и блэк, но с благой целью: выявить и устранить уязвимые места в IT-структуре компании.

После окончания тестирования на проникновение руководству компании передаётся подробный отчёт о найденных уязвимостях.


Кстати, различают три вида тестирования на проникновение:

  1. White Box: атакующему доступна вся информация тестируемых компонентов информационных ресурсов компании;
  2. Black Box: доступна только минимальная информация;
  3. Grey Box: информация об инфраструктуре компании доступна частично.


Поскольку пентестеры это этичные хакеры, любое тестирование на проникновение начинается с подписания документов, в том числе подписания соглашения о неразглашении (NDA) и разрешения от владельца ресурсов на проведение пентеста.

Профессиональный пентестер специалист не только в области ИБ с глубокими познаниями, но и отличный психолог, умеющий в случае отсутствия технической возможности взлома воспользоваться уязвимостями, связанными с человеческим фактором.

Путь пентестера это долгий путь от начинающего ИТ-специалиста до профессионального White Hat. Пентестер это прежде всего исследователь и фанат ИБ.
Существуют множество литературы и курсов по подготовке этичных хакеров, однако любые знания должны быть закреплены практикой.

Для этих целей разрабатываются специальные пентест-лаборатории, в которых можно получить бесценный опыт проведения тестирования на проникновение. Это полностью легально, а дух соперничества за призовые места добавляет дополнительный стимул в этом нелегком добром хакерском деле!


Похожие статьи Pentest