1. Всичко, което трябва да знаете за теста за проникване в сивата кутия
2. Какво представлява тестът за проникване в сивата кутия и защо трябва да го използвате?
3. Тестването за проникване в сивата кутия като средство за запушване на вратички в сигурността
Като се има предвид масовото нарастване на кибератаките, организациите се подготвят да предотвратят атаки с откуп срещу своите системи. От провеждането на масивни симулирани хакерски тестове до ограничаване на достъпа до външни лица с помощта на модели за оценка, много се случва в тази област.
Тестването за проникване, известно още като тестване на писалка или етично хакване, е оценка на сигурността, която използва инструменти за мрежова сигурност, за да симулира атака срещу компютърна система или мрежа.
Някои стандартни техники за тестване на писалка включват тестване на черна, бяла и сива кутия. Никога не сте чували за тестване на сивата кутия? Нека се потопим.
Какво представлява тестването на сивата кутия?
Тестването в сива кутия е тип тестване, което разглежда вътрешната структура на системата, за да идентифицира потенциални грешки или уязвимости.
Като техника за тестване на проникване, той действа като посредник между тестването на черната кутия, което разглежда външните входове/изходи на системата, и тестването на бялата кутия, което разглежда вътрешния код на системата.
Анализаторите по сигурността и етичните хакери използват тестване на сивата кутия, за да открият грешки във функционалните и нефункционалните аспекти на системата.
При функционалното тестване фокусът е върху това да се гарантира, че системата изпълнява правилно изискваните задачи. При нефункционалното тестване фокусът е върху това да се гарантира, че дизайнът на системата отговаря на стандартите за производителност, сигурност и мащабируемост.
Тестването в сивата кутия е от съществено значение за всеки процес за осигуряване на качество, тъй като може да помогне за идентифициране на потенциални проблеми, преди те да причинят значителни проблеми. Това е от решаващо значение за сложни системи, където малка грешка може да има пулсационен ефект.
Техники за тестване на сивата кутия
Бизнесът използва няколко вида тестове за проникване в сивата кутия. За да очертая няколко:
Регресия
Регресионно тестване е вид тест за проникване в сивата кутия, който тества за идентифицирани и коригирани софтуерни недостатъци. Този тип тестване гарантира, че софтуерът не е преминал към по-малко сигурно състояние.
Тестерите използват най-често наличните инструменти и техники за тестване на писалка, за да проведат регресионно тестване. Това може да се направи чрез повторно изпълнение и проверка на резултатите от предишни изпълнения с новите резултати, получени от последните промени в кода.
Регресионното тестване е от съществено значение, защото гарантира, че присъщите промени в кода не са въвели нови уязвимости.
Матрица
Матричната техника включва разбиване на целевата система на различни области или променливи и тестване за уязвимостите на всяка променлива.
Например, първата променлива може да бъде мрежовата инфраструктура, последвана от операционната система, приложенията и данните.
Всяка променлива се тества за слабости, които хакерът може да използва за достъп до следващата променлива. Това е доказано много ефективен начин за намиране на уязвимости, защото ви позволява да се съсредоточите върху конкретни променливи в даден момент и да разберете как работи.
Освен това техниката на матрицата може да ви помогне да идентифицирате потенциални пътища за атака, които може да не сте обмислили иначе. Той предоставя ясна картина на състоянието на сигурността на системата.
Тестване на ортогонален масив
Тестването на ортогонален масив е мощна техника за тестване на сива кутия, която има потенциала да разкрие широк спектър от софтуерни дефекти.
Тази техника обхваща масиви, което гарантира, че всички двойки входни стойности се упражняват поне веднъж. Тестването на ортогонален масив помага да се тестват всички възможни комбинации от входни стойности, което го прави мощен инструмент за разкриване на дефекти.
Тестването на ортогонален масив е техника на сив пентест, която намалява тестовите случаи без покритие. На теория можете да намалите броя на тестовите случаи, които трябва да изпълните, докато все още тествате пълната функционалност на вашия софтуер.
Техника на модела
Техниката на шаблон е мощен инструмент за етичните хакери, които искат да открият уязвимости на системата. Използването на тази техника във връзка с други техники за тестване на сивата кутия ви дава цялостен поглед върху сигурността на системата.
Въпреки че може да бъде предизвикателство да се тества система за всички потенциални уязвимости, техниката на модела е безценна за тестване на често срещани и необичайни уязвимости.
Недостатъци на теста за проникване в сивата кутия
Като двете страни на монетата, има няколко ограничения за тестовете за проникване в сивата кутия, които трябва да имате предвид, когато провеждате този тип оценка. Някои ограничения са описани по-долу:
- Тъй като тестването на сивата кутия включва предварително познаване на въпросната система, може да не е възможно да се симулират действията на действителна атака от край до край.
- Тестването в сива кутия може да не е в състояние да идентифицира всички потенциални уязвимости в сигурността, тъй като тестерът може да няма пълна видимост на системата.
- Предвид процеса на картографиране и анализ на приложението и ограничения достъп до изходния код, скоростта на тестване е значително по-бавна от тестването с бяла кутия.
Трябва ли да изберете тестване в сива кутия?
Трябва да имате предвид няколко фактора, преди да решите дали да изберете тестване в сива кутия или не. Някои от тези фактори включват, но не се ограничават до следното:
- Първият фактор е нивото на достъп до кодовата база на вашия екип за тестване. Ако екипът има ограничен достъп, може да не успее да разбере кода напълно и в крайна сметка да пропусне критични грешки.
- Вторият фактор е размерът и сложността на кодовата база. Голяма, сложна кодова база е по-вероятно да има скрити грешки, отколкото малка и проста кодова база.
- Не на последно място, трябва да обърнете внимание на времевите и бюджетните ограничения на проекта. Ако работите в ограничен срок и бюджет, може да не е осъществимо да предприемете цялостен подход за тестване на бяла кутия.
Като цяло тестването на сивата кутия е добър компромис между тестването на бялата и черната кутия. Може да се окаже по-ефикасно и ефективно от тестването на черна кутия, като същевременно осигурява известно покритие.
Тестването на сивата кутия като средство за тестване с писалка
Тестването за проникване е един от водещите начини за валидиране на сигурността на системата. Това е неразделна част от жизнения цикъл на разработка на софтуер на организацията.
Като методология за тестване за проникване, тестването със сива кутия съчетава предимствата на тестването с бяла и черна кутия. Въпреки това, с прости думи, дори програмите за тестване на проникване следват йерархия, като тестването на черната кутия заема най-горната позиция.
Преди да се отдадете на каквато и да е методология за тестване, трябва внимателно да претеглите ресурсите за сигурност и да изберете подходящ план. Уверете се, че покривате основите на всеки тип тестване, за да вземете разумно решение.