Во время аудита безопасности возможны три подхода. Они соответствуют различным уровням информации и доступа, предоставляемого пентестерам.
Выбор подхода для проведения теста на проникновение зависит от ваших целей: какой уровень глубины вы хотите получить? И хотите ли вы проверить внешнюю угрозу или внутреннюю?
Тестирование на проникновение «черного ящика»
Аудит безопасности «черного ящика» проводится в условиях, максимально приближенных к внешней атаке. Это означает, что перед началом тестирования пентестерам не предоставляется никакой (или почти никакой) информации.
Термин «черный ящик» относится к анализу системы/объекта тестирования, который проводится без знания внутренней работы системы.
Пентестеры знают только название целевой организации и часто IP-адрес или URL. Поэтому поверхность атаки велика. Сначала тратится время на изучение различных элементов, входящих в состав цели, а затем расставляются приоритеты атак в соответствии с элементами, обнаруженными на этом разведывательном этапе.
Тест на проникновение «черного ящика» позволяет свободно выбирать цели (когда цель включает несколько активов), чтобы максимизировать воздействие обнаруженных уязвимостей, как в случае реальной злонамеренной атаки. Такой аудит требует очень небольшой подготовки с вашей стороны как спонсора.
Одно из преимуществ такого подхода заключается в том, что пентестеры привносят свежий взгляд на объект и, следовательно, свежую оценку потенциальных точек входа с точки зрения злоумышленника. Это позволяет избежать, например, сосредоточения тестирования только на том, что считается важным для обеспечения безопасности, в то время как риски других элементов могут быть недооценены.
Можно провести пентест «черного ящика», не информируя команды по обнаружению атак, чтобы увидеть способность компании обнаружить атаку и отреагировать на нее должным образом.
Тестирование на проникновение методом «белого ящика»
В отличие от «черного ящика», аудит безопасности «белого ящика» означает, что перед проведением аудита пентестерам передается как можно больше информации. Информация, необходимая для того, чтобы аудит прошел гладко, передается в условиях полной прозрачности. Таким образом, функционирование объекта становится известным и видимым, отсюда и термин «белый ящик».
Информацией могут быть архитектурные документы, доступ администратора к серверам, доступ к исходному коду и т. д.
Аудит безопасности «белого ящика» не является пентестом в строгом смысле этого слова, поскольку аудитор не принимает точку зрения атакующего. Это более продвинутый анализ безопасности, чем тест на проникновение, позволяющий лучше понять, откуда берутся проблемы безопасности. Он также позволяет обнаружить уязвимости, которые не видны при тестировании на проникновение, но которые все равно могут стать причиной угрозы безопасности.
Тестирование на проникновение «серого ящика»
Во время тестирования на проникновение «серого ящика» пентестеры начинают с получения информации о своей цели. Это может быть предоставление информации о работе объекта аудита, предоставление учетных записей пользователей на ограниченной платформе, предоставление доступа к объекту, который не является общедоступным, и т. д. Это позволяет провести более глубокое тестирование.
При аудите безопасности «серого ящика» поверхность атаки представляет собой определенный периметр. Это позволяет сосредоточить тесты на элементах, которые уже определены: области наибольшего риска, чувствительные элементы, элементы, доступные изнутри, и т. д. Именно такой аудит позволяет моделировать атаки со стороны клиентов, партнеров, посетителей или сотрудников.
Одним из преимуществ такого подхода является то, что можно определить точные рамки тестов в соответствии с вашими приоритетами, например, тестировать только последние элементы, запущенные в производство, или особо чувствительные функциональные возможности.
Подведем итоги
Черный ящик: тесты на проникновение с точки зрения внешнего злоумышленника, минимальный уровень информации, предоставляемой пентестерам.
Серый ящик: тесты с точки зрения обычного пользователя, промежуточный уровень информации, предоставляемой пентестерам.
Белый ящик: тесты безопасности с точки зрения администратора, максимальный уровень передаваемой информации.
Таким образом, уязвимости, выявленные в ходе пентестов «черного ящика» и «серого ящика», представляют собой прямые и непосредственные риски для организации, в то время как аудит «белого ящика» позволяет провести дальнейший анализ безопасности.
Вполне возможно выбрать различные подходы в зависимости от целей и зрелости безопасности компании на разных уровнях.