Penetrační testování: Black Box vs. Grey Box vs. White Box

Tato příručka poskytuje vše, co potřebujete k pochopení, určení rozsahu a provedení tohoto typu testování – s praktickými pokyny, které můžete okamžitě využít.

Black Box: Pohled zvenčí

Při testování metodou black box začíná tester s nulovými informacemi – žádné přihlašovací údaje, žádná dokumentace, žádná znalost architektury. Simuluje skutečného externího útočníka, počínaje průzkumem a postupuje k zneužití zranitelností. To poskytuje nejrealističtější simulaci externího útoku, ale fáze průzkumu spotřebuje značné množství času, což znamená méně času na hloubkovou analýzu zranitelností. Nejlepší pro: hodnocení vašeho externího rizika z pohledu útočníka.

Grey Box: Vyvážený přístup

Testování metodou grey box poskytuje testerovi omezené informace – obvykle standardní uživatelský účet, základní dokumentaci k API a obecný přehled o architektuře. Simuluje to informovanějšího útočníka nebo kompromitovaného zasvěcence s omezeným přístupem. Tester přeskočí velkou část fáze průzkumu a zaměřuje čas na testování na zneužití zranitelností a hloubku. To je nejběžnější přístup pro Penetration Testing řízené souladem s předpisy, protože maximalizuje hloubku nálezů v rozumném časovém rámci. Nejlepší pro: většinu SaaS, cloudových služeb a testování souladu s předpisy.

White Box: Maximální hloubka

Testování metodou white box poskytuje testerovi plný přístup – zdrojový kód, dokumentaci architektury, administrátorské přihlašovací údaje, databázová schémata. To umožňuje nejdůkladnější možnou analýzu, včetně revize bezpečného kódu a identifikace zranitelností na úrovni architektury. Nevýhodou je snížená realističnost – skutečný útočník by nezačínal s touto úrovní přístupu. Nejlepší pro: bezpečnostní revize před uvedením do provozu, audity bezpečného kódu a aplikace s vysokými nároky na bezpečnost.

Výběr správného přístupu

Pro většinu organizací poskytuje testování metodou grey box nejlepší návratnost investic. Poskytuje dostatek informací pro efektivní práci testera při zachování realistické perspektivy protivníka. Black box přidává realističnost na úkor hloubky. White box maximalizuje hloubku na úkor realističnosti. Váš rámec pro soulad s předpisy obvykle nenařizuje konkrétní přístup – důležité je, aby rozsah, metodika a zjištění uspokojily očekávání auditora.

Závěrem

Správný přístup závisí na vašich cílech, časovém plánu a požadavcích na soulad s předpisy. Penetrify doporučuje testování metodou grey box pro většinu zakázek zaměřených na soulad s předpisy – poskytuje nejsilnější rovnováhu mezi hloubkou, efektivitou a relevancí pro skutečný svět. Ať už je přístup jakýkoli, kombinace automatizovaného skenování a manuálního odborného testování zajišťuje komplexní pokrytí.

Často kladené otázky

Který přístup používá většina společností?

Testování metodou grey box je nejběžnější přístup pro Penetration Testing řízené souladem s předpisy. Poskytuje nejlepší rovnováhu mezi hloubkou testování, efektivitou a realistickou simulací protivníka.

Vyžaduje můj rámec pro soulad s předpisy specifický přístup?

Většina rámců (SOC 2, PCI DSS, ISO 27001, HIPAA) nenařizuje specifický přístup k testování. Důležité je, aby rozsah pokrýval relevantní systémy a zjištění uspokojila očekávání auditora ohledně hloubky a důkladnosti.

Je testování metodou black box realističtější?

Ano, ale realističnost má svou cenu. Fáze průzkumu při testování metodou black box spotřebuje čas, který by mohl být věnován hlubšímu zneužití zranitelností. Pro většinu organizací převáží efektivita získaná poskytnutím omezených informací (grey box) okrajový přínos realismu z black box.