Nem minden behatolásvizsgálat egyforma. A behatolásvizsgálat típusai két tengely mentén különböznek: mennyit tud a tesztelő előre a rendszereidről (black box, white box vagy grey box), és a környezeted mely része tartozik a hatókörbe (egy webalkalmazás, egy API, a hálózati perem és így tovább). Ezek helyes megválasztása teszi a tesztet költséghatékonnyá és valóban hasznossá, nem pedig pusztán pipálgatási feladattá. Ez az útmutató bemutatja a lehetőségeket, hogy jól válassz.
TL;DR
- A black box, white box és grey box azt írja le, mennyi információval indul a tesztelő; a grey box a leggyakoribb és legköltséghatékonyabb a legtöbb megbízásnál
- A hatókör szerinti teszttípusok közé tartozik a külső hálózat, a belső hálózat, a webalkalmazás, az API, a vezeték nélküli és a social engineering
- A megfelelő kombináció attól függ, mit védesz, milyen megfelelőségi igényeid vannak és mekkora a költségvetésed
- Bármelyik típusról legyen szó, egy jó teszt elismert módszertant követ, például a PTES-t vagy az OWASP-ot, és priorizált, kihasználható eredményeket ad
A behatolásvizsgálat típusai a tudásszint szerint
Ez arról szól, mennyit közölnek a tesztelővel, mielőtt elkezdi, ami különböző típusú támadókat szimulál.
Black box tesztelés
A tesztelő kevés vagy semmilyen előzetes információt nem kap, csak azt, amivel egy valódi külső támadó rendelkezne (például egy domainnevet). Az elejétől kezdve maga végzi a felderítést.
- Szimulálja: Egy külső támadót belső ismeretek nélkül.
- Előnyök: Reális képet ad a külső kitettségről; azt teszteli, amit egy alkalmi támadó megtalálna.
- Hátrányok: A felderítésre fordított idő kevesebb időt hagyhat a mélyebb problémákra, és egyes sérülékenységek pusztán időhiány miatt maradhatnak felfedezetlenül, nem a kockázat hiánya miatt.
- Ideális: A valós külső kitettség felmérésére.
White box tesztelés
A tesztelő teljes információt kap: architektúradiagramokat, forráskódot, hitelesítő adatokat és konfigurációt.
- Szimulálja: Egy hozzáértő bennfentest, vagy egy alapos auditot, amely a legrosszabb esetre feltételezett támadói tudást vesz alapul.
- Előnyök: A legalaposabb lefedettség; az idő a problémák megtalálására megy, nem a környezet felderítésére; képes mély logikai és kódszintű hibákat feltárni.
- Hátrányok: Több előkészületet és információmegosztást igényel; kevésbé reprezentálja a vak külső támadót.
- Ideális: A lefedettség maximalizálására, és olyan kritikus rendszereknél, ahol az alaposság fontosabb a realizmusnál.
Grey box tesztelés
A tesztelő részleges információt kap, például szabványos felhasználói hitelesítő adatokat és magas szintű áttekintést, de nem a teljes belső működést.
- Szimulálja: Egy támadót, aki már megvetette a lábát, vagy egy rosszindulatú, illetve kompromittált átlagos felhasználót.
- Előnyök: Pragmatikus egyensúly; hatékony időfelhasználás úgy, hogy közben reális támadási útvonalakat is tesztel, például jogosultság-kiterjesztést egy normál fiókból.
- Hátrányok: Se nem teljesen vak, se nem teljesen tájékozott nézet, bár a legtöbb célra ez a kompromisszum inkább erősség.
- Ideális: A legtöbb megbízáshoz. A grey box a gyakori alapértelmezés, mert egyensúlyt teremt a realizmus, a lefedettség és a költség között.
Tesztelés hatókör szerint
A tudásszinttől függetlenül eldöntöd, mi tartozik a hatókörbe. Gyakori típusok:
- Külső hálózati teszt: Az internet felé néző perem: nyilvános szerverek, tűzfalak, kitett szolgáltatások.
- Belső hálózati teszt: A hálózat belsejéből, egy már bent lévő támadót szimulálva (adathalászat, csaló eszköz vagy rosszindulatú bennfentes útján), és az oldalirányú mozgást teszteli.
- Webalkalmazás-teszt: Egy adott webalkalmazás logikájának, hitelesítésének és bemeneteinek mély tesztelése, jellemzően az OWASP módszertanhoz igazodva.
- API-teszt: Az API-k célzott tesztelése, amelyek egyre növekvő támadási felületet jelentenek, és gyakran kevésbé védettek, mint a webes felület.
- Vezeték nélküli teszt: Wi-Fi hálózatok és azok elkülönítése az érzékeny rendszerektől.
- Social engineering: Az emberi réteg tesztelése adathalászattal és ürügyre épülő technikákkal (előre egyeztetett szabályok mellett).
Hogyan válaszd ki a megfelelő tesztet
- Egy adott alkalmazást védesz? Egy grey box webalkalmazás- (és API-) teszt általában a legjobb ár-érték arányt kínálja.
- Aggódsz a külső kitettség miatt? Kezdd egy külső hálózati teszttel, black vagy grey box formában.
- Belső kockázat vagy elszigetelés aggaszt? Válaszd a belső hálózati tesztet az oldalirányú mozgás felmérésére.
- Megfelelőség vezérel? Nézd meg, mit ír elő a keretrendszered vagy az ügyfélszerződésed; egyesek hatókört vagy függetlenséget írnak elő.
- Korlátozott a költségvetés? A grey box oda összpontosítja az erőfeszítést, ahol számít, elkerülve a puszta felderítésre elpazarolt időt.
Bármit is választasz, ragaszkodj elismert módszertanhoz. A professzionális tesztelés olyan szabványokat követ, mint a Penetration Testing Execution Standard (PTES) és az OWASP , túllép az automatizált szkennelésen, hogy láncba fűzze a sérülékenységeket és valós támadási útvonalakat próbáljon ki, és proof-of-concept exploitokat szállít priorizált javítási ütemtervvel.
Legfontosabb tanulságok
- A behatolásvizsgálat fő típusai tudásszint szerint a black, white és grey box; a grey box a pragmatikus alapértelmezés a legtöbb igényhez.
- A hatókör (külső, belső, webalkalmazás, API, vezeték nélküli, social engineering) a tudásszinttől független választás.
- Igazítsd a tesztet ahhoz, amit védesz, a megfelelőségi igényeidhez és a költségvetésedhez.
- Egy jó teszt a PTES/OWASP szabványt követi, és priorizált, kihasználható eredményeket ad, nem csak egy szkennerjelentést.
Szerezd meg az igényeidnek megfelelő tesztet
A hatókör és a tudásszint kiválasztása szakértői segítséggel könnyebb. A behatolásvizsgálati szolgáltatás a PTES és OWASP módszertanokat követi webalkalmazásokon, API-kon és a hálózati peremen, proof-of-concept exploitokkal és priorizált javítási ütemtervvel. Ha az első tesztedet rendeled meg, a mire számíthatsz egy egyesült királyságbeli behatolásvizsgálattól című útmutató végigvezet a folyamaton, az időzítésen és a költségeken.
Gyakran ismételt kérdések (GYIK)
Mi a különbség a black box, white box és grey box behatolásvizsgálat között? Az, hogy mennyit tud a tesztelő előre. A black box kevés vagy semmilyen előzetes információt jelent (mint egy külső támadó), a white box teljes hozzáférést a kódhoz és a konfigurációhoz (maximális alaposság), a grey box pedig részleges információt, például egy felhasználói bejelentkezést (pragmatikus középút).
Milyen típusú behatolásvizsgálat kell nekem? A legtöbb alkalmazáshoz egy grey box webalkalmazás- és API-teszt kínálja a legjobb egyensúlyt a realizmus, a lefedettség és a költség között. Külső kitettségre külső hálózati teszt; belső kockázatra belső teszt. A helyes válasz attól függ, mit védesz és milyen megfelelőségi követelményeid vannak.
Jobb a grey box tesztelés a black boxnál? Nem általánosan, de ez a leggyakoribb alapértelmezés, mert hatékonyan használja a tesztelési időt, miközben reális támadási útvonalakat is végigjár, mint a jogosultság-kiterjesztés. A black box reálisabb a tiszta külső kitettségre; a white box összességében alaposabb.
Mi a különbség a külső és a belső behatolásvizsgálat között? A külső tesztelés az internet felé néző peremedet célozza, ahogy egy kívülálló támadó tenné. A belső tesztelés egy már a hálózaton belül lévő támadót szimulál, az oldalirányú mozgásra összpontosítva, és arra, meddig terjedhet egy megvetett láb.
Követ-e egy behatolásvizsgálat szabványos módszertant? Követnie kell. A professzionális tesztelés elismert szabványokat követ, például a Penetration Testing Execution Standard (PTES) és az OWASP szabványt, ami az ad hoc szkennelés helyett következetes, ismételhető lefedettséget biztosít, és priorizált, kihasználható eredményeket ad.
Hozzászólások