Чем сложнее становится ИТ-инфраструктура компании, тем больше точек проникновения в периметр организации получают злоумышленники. Хакеры постоянно ищут способы взломать систему — через старые уязвимости, утечки паролей или незащищенные интернет-соединения. При успешной атаке компания терпит потери: информационные, финансовые и репутационные.
Возможно, вы слышали про внешнее и внутреннее тестирования, но не понимали, зачем проводить и то и другое. Часто бизнес сканирует только внешний периметр, чтобы найти первичные точки входа и «залатать» дыры. Но злоумышленник может уже находиться внутри системы и нанести значительный ущерб компании. Чтобы быть на шаг впереди хакеров, устранить слабые места в защите и укрепить доверие клиентов и партнеров к компании, мы рекомендуем проводить комплексный пентест инфраструктуры.
В статье мы подробно расскажем о важности двух видов тестирования и поделимся топом уязвимостей на основе аналитики более 200 проектов с тестированием на проникновение от экспертов «Солара».
Что такое внутренний пентест
Внутренний пентест — это имитация атаки на IT-инфраструктуру компании, когда злоумышленник уже получил доступ в корпоративную сеть. Цель внутреннего пентеста — смоделировать ситуацию, как и к чему может получить доступ злоумышленник и как организация может усложнить ему этот процесс.
Находясь во внутреннем периметре, хакер может атаковать внутренние системы организации. Так, тестирование может показать, как из сетевого сегмента разработки можно добраться до продуктивных баз данных с информацией о клиентах. Следом — как развить полученные доступы и выгрузить чувствительную информацию, минуя различные системы защиты.
Наша аналитика показывает, что только у 9% компаний внутренний периметр надежно защищен.
Что такое внешний пентест
Внешний пентест — это имитация атаки на IT-инфраструктуру компании, когда злоумышленник пытается получить доступ внутрь организации из сети Интернет.
Чтобы защитить себя от хакеров и предотвратить проникновение, в ходе внешнего пентеста проводится анализ и тестирование следующих потенциальных точек входа:
- веб-сайты и корпоративные порталы, которые доступны из сети Интернет;
- сервисы удаленного доступа;
- VPN-шлюзы;
- почтовые сервисы;
- API-интерфейсы и административные панели как веб-приложений, так и инфраструктурных сервисов;
- базы данных, которые доступны из сети Интернет.
Также проверяется утечка учетных данных в открытые источники — они тоже могут стать лазейкой для получения доступа к системам компании.
По результатам проектов по внешнему тестированию оказалось, что у 91% компаний внешний периметр уязвим к различным атакам, а у 44% организаций низкий уровень защищенности от атак любого уровня злоумышленника. Кроме того, у большинства организаций находится не один, а два вектора получения доступа — в среднем хакеру нужно около двух шагов для проникновения внутрь организации.
Почему важно проводить комплексные пентесты
Проведение комплекса из двух пентестов дает полную картину рисков и уязвимостей. Это полноценная проверка всей инфраструктуры, которая показывает, каким путем может пойти злоумышленник: от забытой системы во внешнем периметре до доступа к системам с критичными данными или к финансовой информации из-за слабого пароля.
Пентест только одной части инфраструктуры — не гарант безопасности. Многие думают, что внешний периметр — это основная часть инфраструктуры и лучше сконцентрироваться на ней. Но на практике мы видим, что иногда хакер может попасть во внутреннюю сеть, пройдя мимо внешнего периметра.
Реальные атаки сегодня становятся всё более многовекторными. Злоумышленники умеют комбинировать подходы. Злоумышленнику не так уж сложно попасть во внутреннюю инфраструктуру компании. Он может прийти на собеседование под видом кандидата и получить доступ к Wi-Fi или использовать социальную инженерию, чтобы отправить вредоносное письмо сотруднику.
Частыми стали атаки через подрядчиков. Компании становятся все более технически интегрированы друг с другом, появляются VPN-доступы и общие системы, и, скомпрометировав одну организацию, хакер может добраться и до другой.
Топ-уязвимостей в 2025 году
Самыми критичными в обоих периметрах оказались слабые пароли, устаревшие версии ПО и внедрение SQL-кода в запросы к базе данных.
Старые версии ПО — проблема 37% компаний. Когда в программе обнаруживают уязвимость, то выпускают обновления, где эта дыра закрыта. А если у вас старая версия, хакер просто использует готовую «отмычку». Чаще всего наши специалисты встречали такое в популярных программах Liferay, 1С-Битрикс, Pentaho, Microsoft Exchange, Avaya Aura и Jira. Их уязвимости инициировали 25% атак на внешний периметр.
Слабые пароли обнаружены в 57% случаев. Обычно люди используют простые сочетания, которые легко запомнить: admin, qwerty, 123456 или название компании латиницей.
Мы решили узнать, насколько хорошо защищены учетные записи сотрудников компании клиента. Брали список всех найденных пользователей и проверяли несколько популярных паролей у каждого. Так нашли аккаунт бухгалтера с паролем «Декабрь,2024» на английской раскладке. На первый взгляд он хороший: содержит заглавные и строчные буквы, цифры и спецсимвол. Но пароль легко угадывается.
С этой учетной записью мы вошли в почтовый сервер, выгрузили адресную книгу, расширили список пользователей — и повторили атаку. В результате получили доступ к облачной 1С, бухгалтерским документам и видеозвонкам компании, включая текущие и запланированные встречи.
Внедрение SQL-кода в запросы к базе данных встретились в 24% проектов. Эта уязвимость помогает обойти механизмы аутентификации пользователя. Например, на сайте есть форма авторизации. Человек вводит логин и пароль — они отправляются на сервер и проверяются в базе данных. Но хакер знает код, который запутает форму, обойдет проверку пароля и получит доступ без авторизации. Далее он может войти под видом администратора и скопировать или удалить важные данные из базы.
Как правильно проводить пентесты в компаниях
Сотрудники ИБ в компании могут сами протестировать безопасность инфраструктуры с помощью бесплатных сканеров уязвимостей. Но это лишь инструменты — они умеют искать стандартные уязвимости, работают по шаблону, но не думают как хакер. Профессионал же видит нестандартные связки, обходит средства защиты, комбинирует векторы и замечает сценарии, которые не лежат на поверхности.
У специалистов «Солара» огромный опыт: мы провели более 2900 проектов по тестированию на проникновение в крупных компаниях. Комплексный пентест длится от двух до шести недель, причем на тестировании работает команда до шести человек, которые дополняют экспертность друг друга.
Мы идем от задач бизнеса, чтобы показать успешность или безрезультатность одного из векторов атаки. Например, как быстро хакер получит доступ к домену. По итогам создаем отчет со списком уязвимостей, распределяем их по уровню критичности и описываем возможный сценарий вторжения. Дополнительно мы даем рекомендации, как устранить уязвимости и повысить уровень защищенности.
Сейчас мы проводим акцию — комплексный пентест можно получить по специальной стоимости. Доверьте проверку внутреннего и внешнего периметров профессионалам. Переходите на сайт, чтобы узнать подробности и оставить заявку.