Što je Grey Box Penetration Test i zašto biste ga trebali koristiti?

Što je Grey Box Penetration Test i zašto biste ga trebali koristiti?

S obzirom na ogroman porast kibernetičkih napada, organizacije se spremaju spriječiti napade otkupninom na svoje sustave. Od provođenja masivnih simuliranih testova hakiranja, do ograničavanja pristupa autsajderima korištenjem modela evaluacije, mnogo toga se događa unutar ove domene.





Penetracijsko testiranje, također poznato kao testiranje olovkom ili etičko hakiranje, sigurnosna je procjena koja koristi mrežne sigurnosne alate za simulaciju napada na računalni sustav ili mrežu.



MAKEUSEOF VIDEO DANA

Neke standardne tehnike testiranja olovke uključuju testiranje crne, bijele i sive kutije. Nikada niste čuli za testiranje sive kutije? Zaronimo.





Što je Grey Box testiranje?

Testiranje sive kutije vrsta je testiranja koja gleda na unutarnju strukturu sustava kako bi identificirala potencijalne pogreške ili ranjivosti.

Kao tehnika ispitivanja penetracije , djeluje kao posrednik između testiranja crne kutije, koje gleda vanjske ulaze/izlaze sustava, i testiranja bijele kutije, koje gleda interni kod sustava.



Sigurnosni analitičari i etički hakeri koriste testiranje sive kutije kako bi pronašli pogreške u funkcionalnim i nefunkcionalnim aspektima sustava.

U funkcionalnom testiranju fokus je na osiguravanju da sustav ispravno obavlja tražene zadatke. U nefunkcionalnom testiranju fokus je na osiguravanju da dizajn sustava zadovoljava standarde performansi, sigurnosti i skalabilnosti.



Ispitivanje sive kutije ključno je za svaki proces osiguranja kvalitete jer može pomoći u prepoznavanju potencijalnih problema prije nego što izazovu značajne probleme. To je ključno za složene sustave, gdje mala greška može imati efekt valova.

Tehnike testiranja sive kutije

Poduzeća koriste nekoliko vrsta penetracijskih testova sive kutije. Da navedem nekoliko:



usporedni grafikon za microsoft office 2010 vs 2013

Regresija

Prst dodiruje mrežni uzorak

Regresijsko testiranje je vrsta penetracijskog testiranja u sivoj kutiji koja testira identificirane i popravljene greške u softveru. Ova vrsta testiranja osigurava da softver nije nazadovao u manje sigurno stanje.

Testeri koriste najčešće dostupne alate i tehnike za testiranje olovke za provođenje regresijskog testiranja. To se može učiniti ponovnim pokretanjem i provjerom izlaza iz prethodnih pokretanja s novim rezultatima izvedenim iz nedavnih promjena koda.

Regresijsko testiranje je neophodno jer osigurava da inherentne promjene koda nisu uvele nove ranjivosti.

Matrica

Žena stoji između redaka koda

Tehnika matrice uključuje raščlanjivanje ciljnog sustava na različita područja ili varijable i testiranje ranjivosti svake varijable.

Na primjer, prva varijabla može biti mrežna infrastruktura, nakon koje slijede operativni sustav, aplikacije i podaci.

Svaka se varijabla testira na slabosti koje haker može iskoristiti za pristup sljedećoj varijabli. Ovo se pokazalo kao vrlo učinkovit način za pronalaženje ranjivosti jer vam omogućuje da se usredotočite na određene varijable odjednom i shvatite kako to funkcionira.

Osim toga, tehnika Matrix može vam pomoći identificirati potencijalne putove napada koje inače možda niste uzeli u obzir. Pruža jasnu sliku sigurnosnog stanja sustava.

Testiranje ortogonalnog niza

Čovjek drži tablet s dizajnom koji izvire iz njega

Testiranje ortogonalnog niza moćna je tehnika testiranja sive kutije koja ima potencijal otkriti širok raspon softverskih nedostataka.

Ova tehnika pokriva nizove, što osigurava da se svi parovi ulaznih vrijednosti koriste barem jednom. Testiranje ortogonalnog niza pomaže u testiranju svih mogućih kombinacija ulaznih vrijednosti, što ga čini moćnim alatom za otkrivanje nedostataka.

kako pogledati instagram uživo na računaru

Testiranje ortogonalnog niza tehnika je sivog pentesta koja smanjuje testne slučajeve bez pokrivenosti. U teoriji, mogli biste smanjiti broj testnih slučajeva koje trebate pokrenuti, dok još uvijek testirate kompletnu funkcionalnost svog softvera.

Tehnika uzorka

Kocke na ploči za backgammon

Tehnika uzorka moćan je alat za etičke hakere koji žele otkriti ranjivosti sustava. Korištenje ove tehnike u kombinaciji s drugim tehnikama testiranja sive kutije daje vam sveobuhvatan pogled na sigurnost sustava.

kako se kloniti društvenih mreža

Iako može biti izazovno testirati sustav na sve potencijalne ranjivosti, tehnika uzorka neprocjenjiva je za testiranje uobičajenih i neuobičajenih ranjivosti.

Nedostaci Grey Box Penetration Testa

Kao dvije strane novčića, postoji nekoliko ograničenja za testiranje prodora u sivu kutiju koja biste trebali uzeti u obzir prilikom provođenja ove vrste procjene. U nastavku su navedena neka ograničenja:

  1. Budući da testiranje sive kutije uključuje prethodno poznavanje dotičnog sustava, možda neće biti moguće simulirati radnje stvarnog napada od kraja do kraja.
  2. Testiranje sive kutije možda neće moći identificirati sve potencijalne sigurnosne propuste jer ispitivač možda nema potpunu vidljivost sustava.
  3. S obzirom na proces mapiranja i analize aplikacije te ograničen pristup izvornom kodu, brzina testiranja znatno je sporija od testiranja bijele kutije.

Trebate li se odlučiti za Grey Box testiranje?

Morate uzeti u obzir nekoliko čimbenika prije nego što odlučite hoćete li se odlučiti za testiranje u sivoj kutiji ili ne. Neki od ovih čimbenika uključuju, ali nisu ograničeni na sljedeće:

  1. Prvi faktor je razina pristupa bazi koda vašeg tima za testiranje. Ako tim ima ograničen pristup, možda neće moći u potpunosti razumjeti kod i na kraju će propustiti kritične pogreške.
  2. Drugi faktor je veličina i složenost baze koda. Velika, složena baza koda vjerojatnije će sadržavati skrivene pogreške nego mala i jednostavna baza koda.
  3. Na kraju, ali ne manje važno, trebali biste obratiti pozornost na vremenska i proračunska ograničenja projekta. Ako radite u ograničenom roku i proračunu, možda neće biti izvedivo poduzeti sveobuhvatan pristup testiranja bijele kutije.

Općenito, testiranje sive kutije dobar je kompromis između testiranja bijele i crne kutije. Može se pokazati učinkovitijim i učinkovitijim od testiranja crne kutije, a istovremeno pruža određenu pokrivenost.

Grey Box testiranje kao sredstvo za testiranje olovkom

Penetracijsko testiranje jedan je od vodećih načina provjere sigurnosti sustava. Sastavni je dio životnog ciklusa razvoja softvera organizacije.

Kao metodologija testiranja prodora, testiranje sive kutije kombinira prednosti testiranja bijele i crne kutije. Međutim, jednostavnim rječnikom rečeno, čak i programi za testiranje prodora slijede hijerarhiju, pri čemu testiranje crne kutije zauzima prvo mjesto.

Prije nego što se upustite u bilo koju metodologiju testiranja, trebali biste pažljivo odvagnuti sigurnosne resurse i odabrati prikladan plan. Obavezno pokrijte osnove svake vrste testiranja kako biste donijeli razboritu odluku.