Какие есть виды пентеста
В этой статье расскажем о видах пентеста: раскроем их смысл и укажем плюсы с минусами.
Но начнем с суровой реальности: заказчикам все эти виды пентеста не важны. Они думают прежде всего о затратах и результатах. Поэтому готовьтесь к тому, что вам будет необходимо объяснять простым языком о видах пентеста, об их преимуществах и недостатках. А теперь по делу. Виды пентеста в основном разделяют по главному признаку — известности системы. Мы написали о четырех, но есть еще один вид, о котором мы расскажем отдельно.
Белый ящик
Пентестер знает о системе. Он может получить данные от компании через ТЗ и действует с учетом знаний. С такими методом специалист моделирует ситуацию, когда злоумышленник знает слишком много о системе, например, через инсайдерскую информацию.
+
-
Полные знания о системе
Нужно постоянное участие заказчика
Возможность тестировать на всех уровнях
Может занимать много времени
Возможность оптимизации системы безопасности
Высокие затраты на подготовку и реализацию
Черный ящик
Пентестер принимает роль злоумышленника, так как впервые сталкивается с системой: перед ним только данные из открытых источников. В России этот вид пентеста особенно популярен.
+
-
Ближе к атакам реального хакера
Ограничено понимание внутренней структуры системы
Даёт понимание о реальной степени защиты внешнего уровня системы
Есть шанс упустить уязвимость, которая сильно связана с устройством внутренней системы
Более независимое и объективное тестирование
Серый ящик
Здесь пентестер не полностью знает систему компании. Чтобы выполнить подобный вид тестов → нужен доступ к исходному коду ПО.
Интеграционное тестирование
Неопытным тестировщикам сложно создавать тест-кейсы при неполном понимании системы
Взгляд на проект со стороны пользователя
Бывает сложно с большими распределенными системами
Слепое и двойное слепое тестирование
Во всех видах ящика отдел ИБ в курсе, что пентестер проводит проникновение. В этом виде пентеста о нём знают только 1–2 человека в компании, причем они не имеют право разглашать эту информацию. Обычно этот вид проводят для понимания, как атакующий может обойти службу безопасности.
Совет: если будете заниматься таким видом тестирования, имейте при себе документы, что вам можно совершать действия легально. Иначе могут быть проблемы.
+
-
Комбинация плюсов чёрного и белого ящиков
Возможно неполное понимание системы
Можно проверить систему с разных уровней доступа
Сложности с определением объема доступной информации
Ещё более реалистичное моделирование атаки
Дополнительное согласование и сотрудничество с клиентом
Last updated