Không phải mọi bài kiểm thử xâm nhập đều giống nhau. Các loại kiểm thử xâm nhập khác nhau theo hai trục: người kiểm thử biết trước bao nhiêu về hệ thống của bạn (black box, white box hoặc grey box) và phần nào trong môi trường của bạn nằm trong phạm vi (một ứng dụng web, một API, vành đai mạng, v.v.). Chọn đúng những điều này chính là yếu tố khiến một bài kiểm thử hiệu quả về chi phí và thực sự hữu ích thay vì chỉ là thủ tục đối phó. Hướng dẫn này giải thích các lựa chọn để bạn chọn tốt.

TL;DR

  • Black box, white box và grey box mô tả người kiểm thử bắt đầu với bao nhiêu thông tin; grey box phổ biến và hiệu quả về chi phí nhất cho hầu hết các dự án
  • Các loại kiểm thử theo phạm vi bao gồm mạng ngoài, mạng nội bộ, ứng dụng web, API, không dây và social engineering
  • Sự kết hợp phù hợp phụ thuộc vào những gì bạn bảo vệ, nhu cầu tuân thủ và ngân sách của bạn
  • Dù thuộc loại nào, một bài kiểm thử tốt tuân theo phương pháp được công nhận như PTES hoặc OWASP và cung cấp các phát hiện đã ưu tiên, có thể khai thác

Các loại kiểm thử xâm nhập theo mức độ hiểu biết

Đây là về việc người kiểm thử được cung cấp bao nhiêu thông tin trước khi bắt đầu, điều này mô phỏng các loại kẻ tấn công khác nhau.

Kiểm thử black box

Người kiểm thử được cung cấp ít hoặc không có thông tin trước, chỉ những gì một kẻ tấn công bên ngoài thực sự có (ví dụ một tên miền). Họ tự thực hiện việc do thám từ đầu.

  • Mô phỏng: Một kẻ tấn công bên ngoài không có kiến thức nội bộ.
  • Ưu điểm: Cái nhìn thực tế về mức độ phơi bày bên ngoài; kiểm thử những gì một kẻ tấn công cơ hội sẽ tìm thấy.
  • Nhược điểm: Thời gian dành cho do thám có thể khiến còn ít thời gian hơn để kiểm thử các vấn đề sâu hơn, và một số lỗ hổng có thể bị bỏ sót chỉ vì thiếu thời gian, không phải vì thiếu rủi ro.
  • Phù hợp nhất cho: Đánh giá mức độ phơi bày bên ngoài thực tế.

Kiểm thử white box

Người kiểm thử được cung cấp thông tin đầy đủ: sơ đồ kiến trúc, mã nguồn, thông tin đăng nhập và cấu hình.

  • Mô phỏng: Một người trong nội bộ am hiểu, hoặc một cuộc kiểm toán kỹ lưỡng giả định kiến thức của kẻ tấn công trong trường hợp xấu nhất.
  • Ưu điểm: Độ bao phủ kỹ lưỡng nhất; thời gian dành cho việc tìm vấn đề, không phải khám phá môi trường; có thể tìm ra các lỗi logic sâu và ở cấp độ mã.
  • Nhược điểm: Cần chuẩn bị và chia sẻ thông tin nhiều hơn; ít đại diện cho một kẻ tấn công bên ngoài mù thông tin.
  • Phù hợp nhất cho: Tối đa hóa độ bao phủ, và cho các hệ thống quan trọng nơi sự kỹ lưỡng quan trọng hơn tính thực tế.

Kiểm thử grey box

Người kiểm thử được cung cấp thông tin một phần, ví dụ thông tin đăng nhập người dùng tiêu chuẩn và một cái nhìn tổng quan ở mức cao, nhưng không có toàn bộ nội bộ.

  • Mô phỏng: Một kẻ tấn công đã có chỗ đứng, hoặc một người dùng thông thường có ác ý hoặc bị xâm phạm.
  • Ưu điểm: Sự cân bằng thực dụng; sử dụng thời gian hiệu quả trong khi vẫn kiểm thử các đường tấn công thực tế như leo thang đặc quyền từ một tài khoản bình thường.
  • Nhược điểm: Không phải cái nhìn hoàn toàn mù thông tin cũng không hoàn toàn được thông tin, dù với hầu hết mục đích, sự đánh đổi đó là một điểm mạnh.
  • Phù hợp nhất cho: Hầu hết các dự án. Grey box là lựa chọn mặc định phổ biến vì nó cân bằng tính thực tế, độ bao phủ và chi phí.

Kiểm thử theo phạm vi

Không phụ thuộc vào mức độ hiểu biết, bạn chọn những gì nằm trong phạm vi. Các loại phổ biến bao gồm:

  • Kiểm thử mạng ngoài: Vành đai hướng ra internet: máy chủ công khai, tường lửa, dịch vụ bị phơi bày.
  • Kiểm thử mạng nội bộ: Từ bên trong mạng, mô phỏng một kẻ tấn công đã ở bên trong (qua phishing, thiết bị giả mạo hoặc người nội bộ có ác ý) và kiểm thử di chuyển ngang.
  • Kiểm thử ứng dụng web: Kiểm thử sâu logic, xác thực và đầu vào của một ứng dụng web cụ thể, thường theo phương pháp OWASP.
  • Kiểm thử API: Kiểm thử tập trung vào các API, một bề mặt tấn công đang tăng lên và thường ít được bảo vệ hơn giao diện web phía trước.
  • Kiểm thử không dây: Mạng Wi-Fi và sự tách biệt của chúng khỏi các hệ thống nhạy cảm.
  • Social engineering: Kiểm thử lớp con người thông qua phishing và các kỹ thuật dựa trên viện cớ (với các quy tắc giao tiếp đã thỏa thuận).

Cách chọn bài kiểm thử phù hợp

  • Bảo vệ một ứng dụng cụ thể? Một bài kiểm thử grey box ứng dụng web (và API) thường mang lại giá trị tốt nhất.
  • Lo ngại về mức độ phơi bày bên ngoài? Bắt đầu với một bài kiểm thử mạng ngoài, black hoặc grey box.
  • Quan ngại về rủi ro nội bộ hoặc khả năng khoanh vùng? Chọn kiểm thử mạng nội bộ để đánh giá di chuyển ngang.
  • Do tuân thủ thúc đẩy? Kiểm tra xem khung tiêu chuẩn hoặc hợp đồng với khách hàng của bạn yêu cầu gì; một số quy định phạm vi hoặc tính độc lập.
  • Ngân sách hạn chế? Grey box tập trung nỗ lực vào nơi quan trọng, tránh thời gian mất vào việc do thám thuần túy.

Dù bạn chọn gì, hãy khăng khăng về một phương pháp được công nhận. Kiểm thử chuyên nghiệp tuân theo các tiêu chuẩn như Penetration Testing Execution Standard (PTES)OWASP , vượt ra ngoài việc quét tự động để nối chuỗi các lỗ hổng và thử các đường tấn công thực, và cung cấp các exploit proof-of-concept cùng lộ trình khắc phục đã ưu tiên.

Những điểm chính

  • Các loại kiểm thử xâm nhập chính theo mức độ hiểu biết là black, white và grey box; grey box là lựa chọn mặc định thực dụng cho hầu hết các nhu cầu.
  • Phạm vi (ngoài, nội bộ, ứng dụng web, API, không dây, social engineering) là một lựa chọn tách biệt với mức độ hiểu biết.
  • Hãy khớp bài kiểm thử với những gì bạn bảo vệ, nhu cầu tuân thủ và ngân sách của bạn.
  • Một bài kiểm thử tốt tuân theo PTES/OWASP và cung cấp các phát hiện đã ưu tiên, có thể khai thác, không chỉ là một báo cáo của công cụ quét.

Nhận bài kiểm thử phù hợp với nhu cầu của bạn

Chọn phạm vi và mức độ hiểu biết sẽ dễ hơn với ý kiến chuyên gia. Dịch vụ kiểm thử xâm nhập tuân theo phương pháp PTES và OWASP trên các ứng dụng web, API và vành đai mạng, với các exploit proof-of-concept và lộ trình khắc phục đã ưu tiên. Nếu bạn đang đặt bài kiểm thử đầu tiên, hướng dẫn về những gì cần mong đợi từ kiểm thử xâm nhập tại Anh sẽ đưa bạn qua quy trình, mốc thời gian và chi phí.

Câu hỏi thường gặp (FAQ)

Sự khác biệt giữa kiểm thử xâm nhập black box, white box và grey box là gì? Đó là người kiểm thử biết trước bao nhiêu. Black box nghĩa là ít hoặc không có thông tin trước (như một kẻ tấn công bên ngoài), white box nghĩa là truy cập đầy đủ vào mã và cấu hình (kỹ lưỡng tối đa), và grey box nghĩa là thông tin một phần như một lần đăng nhập người dùng (một điểm giữa thực dụng).

Tôi cần loại kiểm thử xâm nhập nào? Với hầu hết ứng dụng, một bài kiểm thử grey box ứng dụng web và API mang lại sự cân bằng tốt nhất giữa tính thực tế, độ bao phủ và chi phí. Với mức độ phơi bày bên ngoài, một bài kiểm thử mạng ngoài; với rủi ro nội bộ, một bài kiểm thử nội bộ. Câu trả lời đúng phụ thuộc vào những gì bạn bảo vệ và yêu cầu tuân thủ của bạn.

Kiểm thử grey box có tốt hơn black box không? Không phải trong mọi trường hợp, nhưng nó là lựa chọn mặc định phổ biến nhất vì sử dụng thời gian kiểm thử hiệu quả trong khi vẫn thực hiện các đường tấn công thực tế như leo thang đặc quyền. Black box thực tế hơn cho mức độ phơi bày bên ngoài thuần túy; white box kỹ lưỡng hơn về tổng thể.

Sự khác biệt giữa kiểm thử xâm nhập bên ngoài và bên trong là gì? Kiểm thử bên ngoài nhắm vào vành đai hướng ra internet của bạn như một kẻ tấn công bên ngoài sẽ làm. Kiểm thử bên trong mô phỏng một kẻ tấn công đã ở trong mạng, tập trung vào di chuyển ngang và một chỗ đứng có thể lan xa đến đâu.

Một bài kiểm thử xâm nhập có tuân theo phương pháp tiêu chuẩn không? Nên có. Kiểm thử chuyên nghiệp tuân theo các tiêu chuẩn được công nhận như Penetration Testing Execution Standard (PTES) và OWASP, đảm bảo độ bao phủ nhất quán, có thể lặp lại thay vì quét tùy tiện, và tạo ra các phát hiện đã ưu tiên, có thể khai thác.