Существует множество методов и подходов к проведению тестирования на проникновение. Давайте рассмотрим именно Black и White Box pentest, которые применяются многими компаниями по обеспечению информационной безопасности.
Pentest Black Box
Такой подход используется в тех случаях, когда специалисты, проводящие тест на проникновение, пока еще не изучали ИТ-инфраструктуру конкретной компании. Суть методики — простая имитация атаки компании злоумышленников.
Pentest White Box
Этот метод выполняется тогда, когда у компании, проводящей пентест, на руках есть абсолютно все необходимые данные по инфраструктуре компании, особенностях ее оборудования, ПО и т. д.
Есть ли конкретные плюсы и минусы у этих методов
Про преимущества и недостатки как Black Box, так и White Box pentest ходит много споров в самых разнообразных кругах. Но практически всегда специалисты сходятся во мнении, что эффективнее проводить оба типа тестирования.
Именно таким образом удастся получить наиболее точный и детальный результат про все найденные «дыры» и уязвимости инфраструктуры конкретной компании. И самое главное — ни одной специализированной компании не составит никакого труда провести оба этих пентеста.
Особенности
Как показывает практика, лучше всего вначале выполнять тестирование на проникновение Black Box, а после него — White Box. Но в любом случае сотрудники компании, проводящей тестирование, должны быть знакомы с ИТ-инфраструктурой исследуемого «объекта» не хуже, чем программисты, которые ее разработали.
Чтобы иметь максимальный контроль иб (информационной безопасности), оба вышеописанных пентеста выполняются и внутри, и снаружи инфраструктуры компании. Нередко для получения максимально достоверных результатов задействуется социальная инженерия.
Для чего проверять своих сотрудников
Ответ на этот вопрос предельно простой: да потому, что злоумышленником может быть один из работников компании (что, кстати, не редкость). Поэтому и нужно понять, как «глубоко» каждый работник предприятия может потенциально навредить своей компании.
Крайне важно проверить всех своих сотрудников на предмет осведомленности об информационной безопасности данных компании. А если необходимо — максимально доступно рассказать о правилах иб и защите своих же данных от злоумышленников.
Вышеописанный метод дополнительно поможет понять, насколько работники организации бдительно относятся к собственным рабочим данным, открывают ли спамные письма, посещают ли сайты с потенциально вредоносным ПО и т. д.
