1. Определение целей и границ работ
На первом этапе мы совместно определяем:
• какие системы необходимо проверить;
• какие IP-адреса, домены, приложения и сервисы входят в периметр;
• какие действия разрешены и запрещены;
• допустимые временные окна тестирования;
• контактных лиц для оперативной связи;
• требования к конфиденциальности;
• формат итогового отчета;
• необходимость повторной проверки после устранения уязвимостей.
Правильно определенные границы работ — важное условие безопасного и полезного пентеста.
2. Сбор информации и моделирование угроз
Специалисты анализируют доступную информацию о целевой системе, определяют потенциальные точки входа, строят карту поверхности атаки и формируют гипотезы о возможных сценариях компрометации.
На этом этапе могут использоваться открытые источники, данные сетевой разведки, информация о сервисах, версиях ПО, доменах, сертификатах, технологиях и публично доступной инфраструктуре.
3. Поиск и анализ уязвимостей
Проводится автоматизированная и ручная проверка систем. Автоматические инструменты используются как вспомогательное средство, но ключевое значение имеет ручной анализ, валидация результатов и поиск сложных сценариев эксплуатации.
Специалисты проверяют не только известные уязвимости, но и ошибки конфигурации, недостатки архитектуры, слабые места в бизнес-логике, неправильное разграничение прав и цепочки атак.
4. Подтверждение эксплуатации
Выявленные уязвимости проверяются на практике в пределах согласованных правил. Цель этапа — подтвердить реальность риска и показать, к каким последствиям может привести уязвимость.
При этом тестирование проводится контролируемо: без разрушительного воздействия, без несанкционированного изменения данных и без действий, способных нарушить работу критичных сервисов, если это не было специально согласовано.
5. Оценка рисков и подготовка рекомендаций
Для каждой подтвержденной уязвимости определяется уровень критичности, возможные последствия, условия эксплуатации и приоритет устранения.
Рекомендации формулируются не абстрактно, а применительно к инфраструктуре заказчика: какие настройки изменить, какие обновления установить, какие механизмы защиты внедрить, какие процессы доработать и какие меры контроля использовать.
6. Подготовка отчета
По итогам работ заказчик получает отчет, который может использоваться как технической командой, так и руководством.
Отчет обычно включает:
• краткое резюме для руководства;
• описание целей и границ тестирования;
• перечень проверенных систем;
• методику проведения работ;
• выявленные уязвимости;
• подтверждение возможности эксплуатации;
• оценку критичности;
• описание потенциальных последствий;
• технические доказательства;
• рекомендации по устранению;
• приоритизацию работ;
• приложения с техническими деталями.
При необходимости отчет может быть адаптирован под требования регулятора, внутреннего аудита, службы ИБ или внешнего заказчика.
7. Повторная проверка
После устранения уязвимостей может быть проведена повторная проверка. Она позволяет подтвердить, что замечания действительно устранены, а исправления не создали новых рисков.
Повторная проверка особенно важна для критичных уязвимостей, систем с доступом из интернета, финансовых сервисов, персональных данных и инфраструктуры, связанной с непрерывностью бизнес-процессов.