Внутренний пентест

Используются тесты, основанные на методах социальной инженерии. Специалисты проверяют, насколько сотрудники осведомлены в вопросах инфобезопасности, знают ли они, как выявить угрозу и как действовать в такой ситуации. К сожалению, сегодня во многих банках уровень осведомленности сотрудников в вопросах информационной безопасности довольно невысокий. Есть примеры, когда персонал нарушает свою инструкцию напрямую, или просто не знают или не имеют таковой. Открывают сомнительные зараженные электронные письма, скачивают файлы из неизвестных источников, выдают данные по телефону и прочее. Как следствие, злоумышленники получают доступ к конфиденциальной информации. Данная информация может пригодиться команде по пентесту в дальнейшей работе по развитию атаки.

Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.

Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:

Поиск доступной информации (зачастую рядовому пользователю доступна конфиденциальная информация, находящаяся на сетевом ресурсе, просто ярлык от ресурса явно не выведен на рабочий стол)
Повышение прав доступа за счет эксплуатации известных уязвимостей
Повторный поиск информации с повышенными правами – в зависимости от согласованного с заказчиком ТЗ.