1. Alt du trenger å vite om penetrasjonstesting av grå boks

2. Hva er Grey Box Penetration Testing og hvorfor bør du bruke det?

3. Grå boks penetrasjonstesting som et middel til å plugge inn sikkerhetshull

Gitt den massive økningen i nettangrep, forbereder organisasjoner seg for å forhindre løsepengeangrep på systemene deres. Fra å gjennomføre massive simulerte hacking-tester, til å begrense tilgangen til utenforstående ved å bruke evalueringsmodeller, skjer det mye innenfor dette domenet.

Penetrasjonstesting, også kjent som pennetesting eller etisk hacking, er en sikkerhetsvurdering som bruker nettverkssikkerhetsverktøy for å simulere et angrep på et datasystem eller nettverk.

Noen standard pennetestteknikker inkluderer testing av svart, hvit og grå boks. Aldri hørt om testing av grå boks? La oss dykke inn.

Hva er Gray Box-testing?

Gråbokstesting er en testtype som ser på systemets interne struktur for å identifisere potensielle feil eller sårbarheter.

Som en teknikk for penetrasjonstesting, fungerer den som et mellomledd mellom black box-testing, som ser på et systems eksterne innganger/utganger, og white box-testing, som ser på systemets interne kode.

Sikkerhetsanalytikere og etiske hackere bruker gråbokstesting for å finne feil i et systems funksjonelle og ikke-funksjonelle aspekter.

Ved funksjonstesting er fokuset på å sikre at systemet utfører de nødvendige oppgavene riktig. I ikke-funksjonell testing er fokuset på å sikre at systemdesignet oppfyller standarder for ytelse, sikkerhet og skalerbarhet.

Testing av grå bokser er avgjørende for enhver kvalitetssikringsprosess, siden det kan bidra til å identifisere potensielle problemer før de forårsaker betydelige problemer. Det er avgjørende for komplekse systemer, hvor en liten feil kan ha en ringvirkning.

Testteknikker for grå boks

Bedrifter bruker flere typer grå boks penetrasjonstester. For å skissere noen:

Regresjon

Regresjonstesting er en type grå boks penetrasjonstesting som tester for identifiserte og fikse programvarefeil. Denne testtypen sikrer at en programvare ikke har gått tilbake til en mindre sikker tilstand.

Testere bruker de mest tilgjengelige penntestingsverktøyene og teknikkene for å utføre regresjonstesting. Det kan gjøres ved å kjøre på nytt og verifisere utdataene fra tidligere kjøringer med de nye resultatene avledet fra nylige kodeendringer.

Regresjonstesting er viktig fordi den sikrer at de iboende kodeendringene ikke har introdusert nye sårbarheter.

Matrise

Matrix-teknikken innebærer å bryte ned målsystemet i forskjellige områder, eller variabler, og teste for hver variabels sårbarheter.

For eksempel kan den første variabelen være nettverksinfrastrukturen, etterfulgt av operativsystemet, applikasjonene og dataene.

Hver variabel testes for svakheter som en hacker kan utnytte for å få tilgang til den påfølgende variabelen. Dette har vist seg å være en veldig effektiv måte å finne sårbarheter på fordi det lar deg fokusere på spesifikke variabler om gangen og forstå hvordan det fungerer.

I tillegg kan Matrix-teknikken hjelpe deg med å identifisere potensielle angrepsveier som du kanskje ikke har vurdert ellers. Det gir et klart bilde av systemets sikkerhetsstilling.

Ortogonal array-testing

Ortogonal array-testing er en kraftig testteknikk for grå bokser som har potensial til å avdekke et bredt spekter av programvarefeil.

Denne teknikken dekker matriser, som sikrer at alle par med inngangsverdier utøves minst én gang. Ortogonal array-testing hjelper til med å teste alle mulige kombinasjoner av inngangsverdier, noe som gjør det til et potent verktøy for å avdekke defekter.

Ortogonal array-testing er en grå pentest-teknikk som reduserer testtilfeller uten dekning. I teorien kan du redusere antall testtilfeller du må kjøre mens du fortsatt tester hele funksjonaliteten til programvaren.

Mønsterteknikk

En mønsterteknikk er et kraftig verktøy for etiske hackere, som ønsker å oppdage systemsårbarheter. Ved å bruke denne teknikken sammen med andre testteknikker for grå bokser, får du en omfattende oversikt over systemets sikkerhet.

Selv om det kan være utfordrende å teste et system for alle potensielle sårbarheter, er mønsterteknikken uvurderlig for å teste vanlige og uvanlige sårbarheter.

Ulemper med Grey Box Penetration Testing

I likhet med de to sidene av en mynt, er det noen få begrensninger for penetrasjonstesting av grå bokser som du bør vurdere når du utfører denne vurderingstypen. Noen begrensninger er skissert nedenfor:

  1. Siden testing av grå boks innebærer å ha forkunnskaper om det aktuelle systemet, kan det hende at det ikke er mulig å simulere handlingene til et faktisk angrep fra ende til annen.
  2. Gråbokstesting kan kanskje ikke identifisere alle potensielle sikkerhetssårbarheter siden testeren kanskje ikke har fullstendig oversikt over systemet.
  3. Gitt applikasjonskartleggings- og analyseprosessen og den begrensede tilgangen til kildekoden, er testhastigheten betydelig lavere enn white box-testing.

Bør du velge gråbokstesting?

Du må vurdere flere faktorer før du bestemmer deg for om du skal velge grå bokstesting eller ikke. Noen av disse faktorene inkluderer, men er ikke begrenset til, følgende:

  1. Den første faktoren er tilgangsnivået til testteamets kodebase. Hvis teamet har begrenset tilgang, kan de kanskje ikke forstå koden fullt ut og ender opp med å gå glipp av kritiske feil.
  2. Den andre faktoren er størrelsen og kompleksiteten til kodebasen. En stor, kompleks kodebase er mer sannsynlig å ha skjulte feil enn en liten og enkel kodebase.
  3. Sist, men ikke minst, bør du være oppmerksom på tids- og budsjettbegrensningene til prosjektet. Hvis du jobber med en begrenset tidsfrist og et begrenset budsjett, er det kanskje ikke mulig å gjennomføre en omfattende tilnærming til testing av hvite bokser.

Generelt sett er testing av grå bokser et godt kompromiss mellom testing av hvit og svart boks. Det kan vise seg å være mer effektivt enn black box-testing, samtidig som det gir en viss dekning.

Grå bokstesting som et middel til penntesting

Penetrasjonstesting er en av de ledende måtene å validere et systems sikkerhet. Det er en integrert del av en organisasjons livssyklus for programvareutvikling.

Som en penetrasjonstestmetodikk kombinerer testing av grå bokser fordelene med testing av hvit boks og svart boks. Enkelt sagt følger imidlertid programmer for penetrasjonstesting et hierarki, med black box-testing i toppposisjonen.

Før du hengir deg til noen testmetodikk, bør du nøye veie sikkerhetsressursene og velge en passende plan. Sørg for at du dekker det grunnleggende for hver testtype, for å ta en fornuftig avgjørelse.