IT Penetration Testing

IT Penetration Testing (Pentest) гэж юу вэ?

IT Penetration Testing буюу нэвтрэх туршилт нь байгууллагын мэдээллийн систем, сүлжээ, аппликейшн, төхөөрөмжүүдийн хамгаалалтыг бодит халдлагын аргаар шалгаж, хамгаалалтын сул тал, эмзэг байдлыг илрүүлэн үнэлэх процесс юм. Pentest нь кибер халдлагын техник, аргачлалыг хууль ёсны хүрээнд дуурайлган туршиж, байгууллагын хамгаалалтын бодит түвшинг тодорхойлох зорилготой.

​

Яагаад Pentest хийх шаардлагатай вэ?

✅ Бодит халдлагын эсрэг хамгаалалтаа шалгах. Pentest нь халдагчийн өнцгөөс системийг шалгаж, хамгаалалтын бодит сул талыг илрүүлдэг.

✅ Эмзэг байдлыг баталгаажуулах. Vulnerability Assessment‑аар илэрсэн сул тал үнэхээр ашиглагдах боломжтой эсэхийг баталгаажуулдаг.

✅ Хууль, стандартын шаардлага. Олон улсын стандартууд (ISO 27001, PCI DSS, SOC 2, HIPAA, NIST) нь тогтмол pentest хийхийг шаарддаг.

✅ Мэдээлэл алдагдлаас урьдчилан сэргийлэх. Халдлагад өртөхөөс өмнө хамгаалалтын цоорхойг илрүүлж засварлах боломж олгодог.

✅ Байгууллагын нэр хүндийг хамгаалах. Кибер халдлагаас үүдэх санхүүгийн болон нэр хүндийн эрсдэлийг бууруулдаг.

Pentest‑ийн ач холбогдол

✅ Хамгаалалтын бодит түвшинг тодорхойлно. Системийн хамгаалалт бодит халдлагад хэр тэсвэртэйг хэмждэг.

✅ Эрсдэлийн удирдлагыг сайжруулна. Critical/High эрсдэлийг илрүүлж, засварлах дарааллыг тодорхой болгодог.

✅ Аудит, нийцлийн нотолгоо бүрдэнэ. ISO 27001, PCI DSS зэрэг аудитад шаардлагатай нотолгоо, тайлан бүрдэнэ.

✅ Хэрэглэгч, түншийн итгэлийг нэмэгдүүлнэ. Аюулгүй байдлыг нэн тэргүүнд тавьдаг байгууллага гэдгийг харуулдаг.

✅ Бизнесийн тасралтгүй ажиллагааг хамгаална. Халдлагаас үүдэх системийн доголдол, тасалдлыг бууруулдаг.

Хэн Pentest хийх ёстой вэ?

✅ Мэдээллийн системтэй бүх байгууллага. Сүлжээ, сервер, вэб систем, аппликейшн, cloud ашигладаг бүх байгууллага.

✅ Өндөр эрсдэлтэй салбарууд. Банк, санхүү, Эрүүл мэнд, Төрийн байгууллага, Телеком, Онлайн үйлчилгээ, e‑commerce, SaaS үйлчилгээ үзүүлэгчид

✅ Хувийн мэдээлэл, төлбөрийн мэдээлэл, эрүүл мэндийн мэдээлэл хадгалдаг байгууллага. PII, PCI, PHI өгөгдөлтэй ажилладаг бүх байгууллага.

​

Pentest‑ийн үндсэн бүтэц

1. Scope Definition (Хамрах хүрээ тодорхойлох) - Шалгах систем, IP range, аппликейшн, орчин, хязгаарлалт, зөвшөөрлийг тодорхойлох.

2. Reconnaissance (Мэдээлэл цуглуулах) - Public info, OSINT, network discovery, service enumeration.

3. Vulnerability Identification - Автомат болон гар ажиллагаагаар эмзэг байдал илрүүлэх.

4. Exploitation (Давуу талыг ашиглах оролдлого) - Илэрсэн сул талыг ашиглан нэвтрэх, эрх нэмэх, өгөгдөлд хандах оролдлого хийх.

5. Post‑Exploitation - Access persistence, privilege escalation, lateral movement боломжийг үнэлэх.

6. Risk Rating - CVSS оноогоор эрэмбэлэх (Critical, High, Medium, Low).

7. Reporting - Удирдлагын тайлан, техникийн тайлан, нотолгоо, засварлах зөвлөмж.

8. Remediation & Re‑test - Засвар хийсний дараа дахин шалгаж баталгаажуулах.

Pentest‑ийн үндсэн чиглэл

✅ Network Penetration Testing. Internal/External network‑ийн хамгаалалт, firewall, segmentation‑ийг шалгах.

✅ Web Application Penetration Testing. OWASP Top 10‑ийн дагуу веб системийн халдлагад өртөмтгий байдлыг шалгах.

✅ Mobile Application Penetration Testing. iOS/Android аппликейшний API, authentication, storage, encryption‑ийг шалгах.

✅ Cloud Penetration Testing. AWS, Azure, GCP орчны тохиргоо, IAM, network security‑г шалгах.

✅ Wireless Penetration Testing. Wi‑Fi encryption, rogue AP, authentication сул тал илрүүлэх.

✅ Social Engineering Testing. Phishing, vishing, physical access оролдлогоор хүний хүчин зүйлийн эрсдэлийг үнэлэх.

✅ API Penetration Testing. Authentication, authorization, rate limiting, input validation‑ийг шалгах.

✅ Red Teaming (Өргөтгөсөн халдлагын симуляци). Байгууллагын хамгаалалтын бүх давхаргыг (People, Process, Technology) бодитоор шалгах.