Уровень защищенности информационной инфраструктуры в организации нуждается в оценке со стороны опытных и квалифицированных специалистов. Прежде всего это необходимо для того, чтобы понять, сможет ли внешний или внутренний злоумышленник провести успешную атаку и реализовать недопустимое для бизнеса событие. Эта задача решается с помощью тестирования на проникновение.
Тестирование на проникновение, или пентест, — это работа по оценке защищенности информационной системы, которая подразумевает под собой моделирование реальных атак злоумышленников и подтверждение возможности нанести ущерб (финансовый, репутационный, или другой) организации во время настоящей атаки. Результаты проведения работ такого рода отражают текущие уязвимости и недостатки инфраструктуры и являются ключевыми для дальнейшего выстраивания системы защиты и организации мониторинга и реагирования на инциденты. Необходимо также уточнить, что поиск максимально возможного количества уязвимостей не является задачей классического тестирования на проникновения, потому что цель этой работы состоит в оценке возможности проникновения в систему или повышения привилегий с учетом выстроенной системы защиты информации, а для этого может быть достаточно одной уязвимости. Однако существует и анализ защищенности — другой вид работы по оценке защищенности, который решает задачу выявления максимального количества существующих недочетов, допущенных в ходе проектирования, разработки и эксплуатации систем или приложений.
Всего было проведено 28 проектов по тестированию на проникновение, 39% протестированных организаций входят в рейтинг RAEX-600.