Что такое пентест внешнего периметра и зачем он нужен

Тестирование на проникновение: что это и чем не является

Тестирование на проникновение (penetration testing, пентест) — это контролируемая имитация действий злоумышленника, цель которой не «сломать систему ради процесса», а получить объективную и документированную оценку реальной защищённости информационной системы. Ключевое слово здесь — контролируемая: пентестер действует строго в рамках письменного разрешения заказчика, по согласованным правилам и в оговорённых границах. Именно это отличает легальную профессиональную деятельность от компьютерного преступления, и к этому различию мы вернёмся подробно в следующих уроках.

Важно сразу развести три понятия, которые новички часто путают.

• Сканирование уязвимостей (vulnerability scanning) — автоматизированный поиск известных слабостей с помощью сканера (Nessus, OpenVAS, nmap-скрипты). Результат — список потенциальных уязвимостей с привязкой к CVE. Сканер не подтверждает эксплуатируемость: он видит баннер уязимой версии, но не проверяет, можно ли реально проникнуть.
• Пентест — человек берёт результаты сканирования, отсеивает ложные срабатывания, подтверждает эксплуатируемость (proof of concept), строит цепочки атак и оценивает реальный бизнес-риск. Пентест отвечает не на вопрос «есть ли уязвимая версия?», а на вопрос «может ли атакующий действительно получить доступ к данным и насколько глубоко?».
• Red team — длительная скрытная операция, имитирующая конкретного противника (APT), с проверкой не только технической защиты, но и процессов обнаружения и реагирования (blue team). Пентест обычно громче и заметнее, red team — тише и дольше.

Аналогия: сканер уязвимостей — это список незапертых на вид дверей. Пентест — это попытка реально войти в каждую и проверить, что за ней. Red team — это проникновение в здание так, чтобы охрана ничего не заметила.

Почему пентест важен

Защита, которая никогда не проверялась атакой, существует только на бумаге. Конфигурация считается безопасной до первого реального инцидента. Пентест переносит этот «первый инцидент» в безопасную плоскость: вместо настоящего злоумышленника границу прощупывает доверенный специалист, который оставит отчёт, а не зашифрует данные. Регуляторы это понимают: периодическое тестирование на проникновение прямо требуется во многих стандартах (например, PCI DSS требует пентест минимум раз в год и после значимых изменений инфраструктуры).

Типичная ошибка заказчика: воспринимать отчёт пентеста как «сертификат безопасности». Отчёт фиксирует состояние системы на конкретную дату в рамках конкретного scope. Завтра разработчики выкатят новый сервис — и периметр изменится. Поэтому пентест — это не разовое событие, а регулярная процедура.

Мини-итог: пентест — это контролируемая, легальная и документированная имитация атаки, которая подтверждает реальную эксплуатируемость уязвимостей и оценивает бизнес-риск, в отличие от автоматического сканирования, которое лишь перечисляет потенциальные слабости.

Что такое внешний периметр

Внешний периметр — это совокупность ресурсов организации, доступных из сети Интернет без предварительной аутентификации в корпоративной сети. С точки зрения атакующего это «поверхность атаки» (attack surface) — всё, до чего можно дотянуться, не находясь внутри. Тестирование внешнего периметра моделирует наиболее массовую угрозу: анонимного злоумышленника из Интернета, у которого нет ни учётных данных, ни физического доступа, ни инсайдера.

Что типично входит во внешний периметр:

• Веб-приложения и API — сайты, личные кабинеты, REST/GraphQL-эндпоинты, админ-панели, которые по ошибке оказались доступны снаружи.
• Почтовые серверы — SMTP/IMAP/POP3, веб-почта (OWA, Roundcube).
• VPN-шлюзы и средства удалённого доступа — частая точка входа: уязвимости в VPN-концентраторах исторически приводили к массовым взломам.
• DNS-серверы — могут раскрывать структуру сети через зонные передачи и поддомены.
• Сервисы инфраструктуры, ошибочно «торчащие» наружу: базы данных (открытый 3306/5432), RDP (3389), панели управления, кэши (Redis, Memcached без пароля).

Цели заказчика

Заказчик заказывает внешний пентест, чтобы ответить на конкретные вопросы:

1. Что вообще видно снаружи? Нередко в ходе разведки находятся забытые тестовые стенды, старые версии сайтов, оставленные после миграции сервисы. Сама инвентаризация поверхности атаки уже ценна.
2. Можно ли через это проникнуть внутрь? Главный вопрос — есть ли путь от анонимного доступа к компрометации критичных активов (получение учётных данных, доступ к внутренней сети, к персональным данным клиентов).
3. Насколько серьёзны последствия? Каждая находка оценивается по бизнес-влиянию: утечка ПДн, остановка сервиса, финансовые потери, репутационный ущерб.

Где пентест в жизненном цикле

Безопасность — это непрерывный цикл. Условно: проектирование → разработка → развёртывание → эксплуатация → мониторинг. Пентест чаще всего проводят на этапах развёртывания (перед запуском нового сервиса) и эксплуатации (периодически и после крупных изменений). Чем раньше найдена уязвимость, тем дешевле её исправить: устранить ошибку на этапе разработки в десятки раз дешевле, чем после инцидента в продакшене.

Типичная ошибка: считать, что внешний периметр — это «то, что мы специально опубликовали». На практике 90% находок — это то, что опубликовалось случайно: забытый поддомен, открытый порт после отладки, дефолтная админка фреймворка. Поэтому разведка (модуль 2) — фундамент всей работы.

Мини-итог: внешний периметр — это вся доступная из Интернета поверхность атаки. Внешний пентест моделирует анонимного злоумышленника и отвечает на три вопроса: что видно снаружи, можно ли проникнуть внутрь и насколько это опасно для бизнеса.