Иной раз штатный системный администратор компании не может справиться со сложными задачами. Например, не всякий такой специалист сумеет провести тест на проникновение. Для этого необходимо будет сымитировать действия хакеров и найти все возможные уязвимости. Поэтому пентест услуга часто заказывается в сторонних компаниях. В этом случае за нее берется команда профильных специалистов. Они знают все об актуальных хакерских атаках с применением последних технологий и разработок. Пантест тестированием и другими IT услугами занимается в России и за рубежом ITGLOBAL.COM Security. Помимо этого, компания разрабатывает собственные сервисы и решения для охраны серверов. По каким критериям заказчики ищут пентестеров:
- опыт команды;
- ее экспертиза;
- репутация на профильном рынке услуг;
- портфолио готовых проектов;
- специализация;
- наличие сертификатов, аттестаций.
Отличительные особенности такого тестирования
Пентест в профессиональной среде считают инструментом универсальным. С его помощью можно оценивать всю систему безопасности компании, интегрированную с серверами. Кроме того, тестирование можно проводить точечно, на потенциально уязвимых компонентах системы. Даже отдельно взятые программы подвергают данной проверке, при необходимости. При этом у пентеста много отличий от редтиминга, BAS-системы или сканирования на предмет уязвимости. В итоге такой работы заказчик получит исчерпывающий перечень недостатков, а также рекомендации специалистов по их ликвидации. При этом сам пентестер будет действовать по схеме потенциального злоумышленника. Для этого он должен быть в курсе последних хакерских тенденций.
Сроки проведения и периодичности пентеста
Многих клиентов пентестеров интересует, как долго продлится данная работа. В ней, как и везде, соки зависят от объема. Если тестировать всю систему безопасности под ключ, то потребуется порядка 3-4 недель. Даже скоуп, ограниченный охват, занимает много времени. По его ходу изучают пути возможного проникновения и нередко проводят углубленное тестирование. Кроме этого, заказчики часто спрашивают специалистов, с какой периодичностью надо проводить пентест. Обычно это необходимо при обновлении целевого приложения. Если же проверяют всю систему безопасности под ключ, то пентест можно проводить два или три раза в год. Непрерывно его делать не имеет смысла даже в крупной компании. Поэтому штатного пентестера редко нанимают, горазд проще регулярно обращаться к сторонней организации.
