Многие используют пентесты «черного ящика» для оценки своей кибербезопасности, но у них есть свои недостатки. Вот где его не хватает и что вы можете сделать.
Тесты на проникновение необходимы для обеспечения безопасности компании. Это контролируемые, моделируемые кибератаки, проводимые с целью выявления уязвимостей и слабых мест в средствах защиты системы или сети. Существует три типа тестов на проникновение: тесты на проникновение «черного ящика», «серого ящика» и «белого ящика».
Многие предпочитают тест на проникновение «черный ящик», поскольку считают, что это наиболее реалистичное представление о реальной киберугрозе. Однако эта привлекательность реализма иногда может затмить потенциальные недостатки. Вот почему вы можете пересмотреть выбор теста на проникновение «черного ящика» для следующей оценки безопасности.
Что такое тест на проникновение в черный ящик?
Тест на проникновение в черный ящик — это анализ кибербезопасности, при котором тестировщики имитируют атаки на систему, имитируя точку зрения внешнего злоумышленника, чтобы выявить уязвимости с точки зрения постороннего.
Как и настоящий злоумышленник, тестер на проникновение «черного ящика» может не иметь никакой внутренней информации об активах и инфраструктуре вашей системы, что делает его настоящей проверкой вашей защиты. Этот подход зависит от воспроизведения сценария внешней угрозы, проверяющей уязвимости.
Тестировщики следуют своим инстинктам и знанию векторов атак, пытаясь проникнуть в активы организации и выявить слабые места. Хотя цель состоит в том, чтобы отразить реальные риски, важно признать, что за это приходится упускать из виду потенциальные пробелы, которые могут выявить только внутренние знания.
Почему тест на проникновение в черный ящик может оказаться неудовлетворительным
Согласно Стандарт проверки безопасности приложений OWASP 4.0Тесты на проникновение «черного ящика» за последние 30 лет доказали наличие критических проблем безопасности, что привело к массовым нарушениям. Но пентесты «черного ящика», особенно если они проводятся в конце разработки, не являются эффективной гарантией безопасности.
Временные ограничения
Одна вещь, которая значительно отличает тест на проникновение «черного ящика» от реальной кибератаки, — это время, необходимое для проведения обоих. У злоумышленников есть много времени для проведения атак, которые растягиваются на месяцы или даже годы; между тем, большинство тестов на проникновение завершаются в течение нескольких недель.
Злоумышленникам нужна всего одна точка входа или уязвимость, чтобы получить доступ к системе, и они могут оставаться там месяцами. Поскольку тест на проникновение имеет ограниченные временные рамки, это часто ограничивает глубину исследования, в результате чего тестер на проникновение не может полностью смоделировать кибератаку.
Ограниченные знания
Хотя тест «черного ящика» предназначен для имитации внешних угроз, ему не хватает контекста, которым обладают внутренние команды. Не понимая особенностей архитектуры и защиты вашей системы, тестеры на проникновение могут упустить из виду критические уязвимости, которые они могли бы обнаружить только в том случае, если бы знали об активах и о том, как они были развитый.
Иногда это может привести к искажению оценок. Тестировщики могут ориентироваться только на общие точки входа, упуская из виду определенные области, предполагая, что злоумышленники не воспользуются ими, и упуская потенциальные «слепые зоны», которые можно обнаружить при более целостной оценке. Вот почему некоторые пентестеры собирают информацию, а затем атакуют, что позволяет более точно оценить вашу безопасность.
Недооценка внутренних угроз
Сосредоточение внимания исключительно на внешних угрозах игнорирует риск, исходящий от инсайдеров. Тест «черного ящика» может не дать адекватной оценки уязвимостей, которыми может воспользоваться сотрудник или подрядчик, имеющий доступ.
Учитывая сбалансированный подход
Тесты на проникновение «серого ящика» и «белого ящика» предлагают уникальные преимущества, дополняющие метод «черного ящика».
Тест «серого ящика» обеспечивает баланс, предоставляя ограниченную внутреннюю информацию и имитируя знающего злоумышленника. Между тем, тест «белого ящика» предлагает прозрачное исследование внутренней работы вашей системы, позволяя тщательно выявлять уязвимости. Выбор сочетания этих подходов обеспечивает лучшее представление об уязвимостях вашей организации. Использование сбалансированного подхода укрепляет вашу защиту и способствует активной устойчивости как к известным, так и к непредвиденным угрозам.