pl | en
Logo

Risk view level

Poziom ryzyka

Testy penetracyjne

Testy penetracyjne to jedna z metod oceny bezpieczeństwa systemu / aplikacji. Polega ona na wykorzystaniu technik penetracji używanych przez prawdziwego atakującego.

Rodzaj testówOpis
Testy black-box Testy wykonywane z tzw. wiedzą zerową. Oznacza to, że audytorzy nie wiedzą nic na temat badanego systemu / aplikacji. Dodatkowo w przypadku aplikacji oznacza to traktowanie jej jak czarnej skrzynki - audytorzy mają wpływ tylko na dane wejściowe i mają dostęp do danych wyjściowych (często nie mają także dostępu do środowiska wykonania aplikacji).
Testy white-box Testy wykonywane z pełną wiedzą na temat badanego systemu, jego architektury i zastosowanych technologii. W przypadku testów aplikacji oznacza to dostęp do kodu Źródłowego oraz środowiska wykonania.

Którą metodę lepiej stosować? Wiele osób uważa że testy black-box odzwierciedlają lepiej prawdziwy atak z zewnątrz. W praktyce jednak większość ataków z zewnątrz ma charakter zautomatyzowany i opiera się o dobrze znane podatności. Naprawdę groŹne ataki albo wykorzystują podatności typu 0day albo są realizowane przez osoby posiadające wiedzę o atakowanym systemie. W przypadku ataków wewnętrznych atakujący zawsze posiada przynajmniej minimalną wiedzę o celu. Dlatego testy white-box zazwyczaj dają najlepsze rezultaty. Dlaczego i kiedy stosować w takim razie podejście black-box? Są dwa przypadki uzasadniające wykorzystanie tej metody:

  • Testy black-box idealnie nadają się identyfikacji wycieku informacji z systemu (np. identyfikacja zastosowanych rozwiązań na podstawie ich charakterystyki sieciowej). Testy black-box
  • Testy black-box trwają w niektórych przypadkach krócej niż white-box więc mogą być użyte jako pilot większego projektu.

AVET INS realizuje od ponad dekady testy penetracyjne dla organizacji z listy Fortune 500 i krytycznych systemów administracji państwowej. Naszym klientom pomagamy nie tylko wybrać odpowiednią metodykę ale także zdefiniować zakres testów. W przypadku testów systemów produkcyjnych tak dobieramy zakres testów aby był on bezpieczny dla systemu.

Podczas testów penetracyjnych możemy korzystać z modelu zagrożeń jeśli klient taki posiada. W przypadku jego braku AVET INS może opracować taki model a następnie zweryfikować go za pomocą testów penetracyjnych.