Non tutti i penetration test sono uguali. I tipi di penetration test differiscono lungo due assi: quanto il tester sa in anticipo dei tuoi sistemi (black box, white box o grey box) e quale parte del tuo ambiente rientra nell’ambito (un’applicazione web, un’API, il perimetro di rete e così via). Sceglierli bene è ciò che rende un test conveniente e davvero utile invece di un semplice esercizio formale. Questa guida spiega le opzioni per aiutarti a scegliere bene.
TL;DR
- Black box, white box e grey box descrivono quante informazioni ha il tester all’inizio; il grey box è il più comune e conveniente per la maggior parte degli incarichi
- I tipi di test per ambito includono rete esterna, rete interna, applicazione web, API, wireless e social engineering
- La combinazione giusta dipende da cosa stai proteggendo, dalle tue esigenze di conformità e dal tuo budget
- Qualunque sia il tipo, un buon test segue una metodologia riconosciuta come PTES o OWASP e fornisce risultati prioritizzati e sfruttabili
Tipi di penetration test per livello di conoscenza
Riguarda quanto viene comunicato al tester prima che inizi, il che simula diversi tipi di attaccante.
Test black box
Al tester vengono date poche o nessuna informazione preliminare, solo ciò che avrebbe un vero attaccante esterno (ad esempio un nome di dominio). Esegue la propria ricognizione da zero.
- Simula: Un attaccante esterno senza conoscenze interne.
- Pro: Visione realistica dell’esposizione esterna; testa ciò che troverebbe un attaccante opportunista.
- Contro: Il tempo speso nella ricognizione può lasciarne meno per testare problemi più profondi, e alcune vulnerabilità possono essere mancate solo per mancanza di tempo, non di rischio.
- Ideale per: Valutare l’esposizione esterna reale.
Test white box
Al tester vengono date informazioni complete: diagrammi dell’architettura, codice sorgente, credenziali e configurazione.
- Simula: Un insider competente, o un audit approfondito che presuppone la conoscenza dell’attaccante nel caso peggiore.
- Pro: La copertura più approfondita; il tempo va nel trovare i problemi, non nello scoprire l’ambiente; può rilevare difetti di logica profonda e a livello di codice.
- Contro: Richiede più preparazione e condivisione di informazioni; meno rappresentativo di un attaccante esterno cieco.
- Ideale per: Massimizzare la copertura, e per i sistemi critici in cui la completezza conta più del realismo.
Test grey box
Al tester vengono date informazioni parziali, ad esempio credenziali utente standard e una panoramica di alto livello, ma non gli interni completi.
- Simula: Un attaccante che ha già preso piede, o un utente normale malevolo o compromesso.
- Pro: Un equilibrio pragmatico; uso efficiente del tempo pur testando percorsi di attacco realistici come l’escalation dei privilegi da un account normale.
- Contro: Né una visione totalmente cieca né totalmente informata, anche se per la maggior parte degli scopi questo compromesso è un punto di forza.
- Ideale per: La maggior parte degli incarichi. Il grey box è la scelta predefinita comune perché bilancia realismo, copertura e costo.
Test per ambito
Indipendentemente dal livello di conoscenza, scegli cosa rientra nell’ambito. I tipi comuni includono:
- Test della rete esterna: Il perimetro rivolto a Internet: server pubblici, firewall, servizi esposti.
- Test della rete interna: Dall’interno della rete, simula un attaccante già presente (tramite phishing, un dispositivo malevolo o un insider malintenzionato) e testa il movimento laterale.
- Test dell’applicazione web: Test approfondito della logica, dell’autenticazione e degli input di una specifica applicazione web, tipicamente allineato alla metodologia OWASP.
- Test delle API: Test mirato delle API, una superficie d’attacco in crescita e spesso meno protetta rispetto al front end web.
- Test wireless: Reti Wi-Fi e la loro separazione dai sistemi sensibili.
- Social engineering: Test dello strato umano tramite phishing e tecniche basate su pretesto (con regole di ingaggio concordate).
Come scegliere il test giusto
- Proteggi un’applicazione specifica? Un test grey box dell’applicazione web (e delle API) offre di solito il miglior rapporto qualità-prezzo.
- Preoccupato per l’esposizione esterna? Inizia con un test della rete esterna, in black o grey box.
- Preoccupato per il rischio interno o il contenimento? Scegli il test della rete interna per valutare il movimento laterale.
- Guidato dalla conformità? Verifica cosa richiede il tuo framework o contratto cliente; alcuni specificano ambito o indipendenza.
- Budget limitato? Il grey box concentra lo sforzo dove conta, evitando il tempo perso in pura ricognizione.
Qualunque cosa tu scelga, esigi una metodologia riconosciuta. Il test professionale segue standard come il Penetration Testing Execution Standard (PTES) e OWASP , va oltre la scansione automatizzata per concatenare le vulnerabilità e tentare percorsi di attacco reali, e fornisce exploit proof-of-concept con una roadmap di remediation prioritizzata.
Punti chiave
- I principali tipi di penetration test per livello di conoscenza sono black, white e grey box; il grey box è la scelta predefinita pragmatica per la maggior parte delle esigenze.
- L’ambito (esterno, interno, applicazione web, API, wireless, social engineering) è una scelta distinta dal livello di conoscenza.
- Adatta il test a ciò che stai proteggendo, alle tue esigenze di conformità e al tuo budget.
- Un buon test segue PTES/OWASP e fornisce risultati prioritizzati e sfruttabili, non solo un report di uno scanner.
Ottieni il test giusto per le tue esigenze
Scegliere ambito e livello di conoscenza è più facile con il supporto di un esperto. Il servizio di penetration test segue le metodologie PTES e OWASP su applicazioni web, API e perimetro di rete, con exploit proof-of-concept e una roadmap di remediation prioritizzata. Se stai commissionando il tuo primo test, la guida su cosa aspettarsi da un penetration test nel Regno Unito illustra il processo, i tempi e i costi.
Domande frequenti (FAQ)
Qual è la differenza tra penetration test black box, white box e grey box? È quante informazioni conosce il tester in anticipo. Black box significa poche o nessuna informazione preliminare (come un attaccante esterno), white box significa accesso completo a codice e configurazione (massima completezza), e grey box significa informazioni parziali come un login utente (una via di mezzo pragmatica).
Di quale tipo di penetration test ho bisogno? Per la maggior parte delle applicazioni, un test grey box di applicazione web e API offre il miglior equilibrio tra realismo, copertura e costo. Per l’esposizione esterna, un test della rete esterna; per il rischio interno, un test interno. La risposta giusta dipende da cosa stai proteggendo e dai tuoi requisiti di conformità.
Il test grey box è migliore del black box? Non universalmente, ma è la scelta predefinita più comune perché usa il tempo di test in modo efficiente pur esercitando percorsi di attacco realistici come l’escalation dei privilegi. Il black box è più realistico per la pura esposizione esterna; il white box è complessivamente più approfondito.
Qual è la differenza tra penetration test esterno e interno? Il test esterno prende di mira il tuo perimetro rivolto a Internet come farebbe un attaccante esterno. Il test interno simula un attaccante già presente nella rete, concentrandosi sul movimento laterale e su quanto lontano un punto d’appoggio potrebbe diffondersi.
Un penetration test segue una metodologia standard? Dovrebbe. Il test professionale segue standard riconosciuti come il Penetration Testing Execution Standard (PTES) e OWASP, che garantiscono una copertura coerente e ripetibile invece di una scansione ad hoc, e producono risultati prioritizzati e sfruttabili.
Commenti