Какие есть виды пентеста
В этой статье расскажем о видах пентеста: раскроем их смысл и укажем плюсы с минусами.
Но начнем с суровой реальности: заказчикам все эти виды пентеста не важны. Они думают прежде всего о затратах и результатах. Поэтому готовьтесь к тому, что вам будет необходимо объяснять простым языком о видах пентеста, об их преимуществах и недостатках. А теперь по делу. Виды пентеста в основном разделяют по главному признаку — известности системы. Мы написали о четырех, но есть еще один вид, о котором мы расскажем отдельно.
Белый ящик
Пентестер знает о системе. Он может получить данные от компании через ТЗ и действует с учетом знаний. С такими методом специалист моделирует ситуацию, когда злоумышленник знает слишком много о системе, например, через инсайдерскую информацию.
+ | - |
Полные знания о системе | Нужно постоянное участие заказчика |
Возможность тестировать на всех уровнях | Может занимать много времени |
Возможность оптимизации системы безопасности | Высокие затраты на подготовку и реализацию |
Черный ящик
Пентестер принимает роль злоумышленника, так как впервые сталкивается с системой: перед ним только данные из открытых источников. В России этот вид пентеста особенно популярен.
+ | - |
Ближе к атакам реального хакера | Ограничено понимание внутренней структуры системы |
Даёт понимание о реальной степени защиты внешнего уровня системы | Есть шанс упустить уязвимость, которая сильно связана с устройством внутренней системы |
Более независимое и объективное тестирование |
Серый ящик
Здесь пентестер не полностью знает систему компании. Чтобы выполнить подобный вид тестов → нужен доступ к исходному коду ПО.
Интеграционное тестирование | Неопытным тестировщикам сложно создавать тест-кейсы при неполном понимании системы |
Взгляд на проект со стороны пользователя | Бывает сложно с большими распределенными системами |
Слепое и двойное слепое тестирование
Во всех видах ящика отдел ИБ в курсе, что пентестер проводит проникновение. В этом виде пентеста о нём знают только 1–2 человека в компании, причем они не имеют право разглашать эту информацию. Обычно этот вид проводят для понимания, как атакующий может обойти службу безопасности.
Совет: если будете заниматься таким видом тестирования, имейте при себе документы, что вам можно совершать действия легально. Иначе могут быть проблемы.
+ | - |
Комбинация плюсов чёрного и белого ящиков | Возможно неполное понимание системы |
Можно проверить систему с разных уровней доступа | Сложности с определением объема доступной информации |
Ещё более реалистичное моделирование атаки | Дополнительное согласование и сотрудничество с клиентом |
Last updated