Regularne przeprowadzanie pentestów to jeden z najlepszych sposobów na zwiększenie bezpieczeństwa danych firmowych. Poprzez symulację kontrolowanego i bezpiecznego ataku hakerskiego, pozwalają na ocenę stanu zabezpieczeń w praktyce, jednocześnie identyfikując potencjalne luki w nich, które mogłyby zostać wykorzystane przez cyberprzestępców. Dzięki nim firma wie, jakie obszary wymagają poprawy oraz co zrobić, aby zwiększyć ochronę poufnych informacji przechowywanych w sieci komputerowych. Wyróżnić można kilka głównych rodzajów testów penetracyjnych – przedstawiamy ich krótką charakterystykę.
Podział pentestów ze względu na ilość informacji, które posiada pentester
Podstawowym podziałem testów penetracyjnych jest podział ze względu na zakres i poziom wiedzy pentestera o infrastrukturze zabezpieczeń:
- White-box testing – w trakcie pentestów specjalista ma pełną wiedzę na temat testowanego obszaru oraz dostęp do aplikacji, kodu źródłowego i systemów, a poszukiwanie luk w zabezpieczeniach odbywa na poziomie samych systemów. Służy do symulacji ataku wewnętrznego i zewnętrznego. Za pomocą tego typu pentestów można dogłębnie przeanalizować infrastrukturę i wykryć jej trudno zauważalne słabości.
- Black-box testing – pentester nie ma żadnej wiedzy na temat testowanych systemów i infrastruktury zabezpieczeń ani dostępu do dokumentacji. Służy przede wszystkim do symulacji prawdziwego ataku hakerskiego z zewnątrz, skupiając się na zewnętrznych lukach bezpieczeństwa.
- Grey-box testing – to kompromis między poprzednimi rodzajami pentestów, w którego przypadku specjalista posiada ograniczoną wiedzę o systemie. Pozwala na wykrycie zarówno wewnętrznych, jak i zewnętrznych luk w zabezpieczeniach, jednak nie jest aż tak dokładny jak white-box czy black-box testing.
W przeprowadzaniu testów penetracyjnych różnej postaci specjalizuje się firma Sprint!
Podział pentestów ze względu na sprawdzany aspekt zabezpieczeń
Testy penetracyjne można podzielić również pod względem tego, jaki aspekt zabezpieczeń ma być sprawdzony pod kątem potencjalnych luk (https://sprint.pl/pl/uslugi/audyty-i-testy-bezpieczenstwa). Wśród nich wyróżnić można:
- Testy bezpieczeństwa infrastruktury – mogą być zewnętrzne, czyli takie, w których specjaliści próbują uzyskać nieautoryzowany dostęp do danych z sieci zewnętrznej lub wewnętrzne, w których pentesterzy podłączają się do sieci wewnętrznej i zbierają informacje na temat słabości w zabezpieczeniach.
- Testy aplikacji webowych – mają na celu weryfikację poziomu zabezpieczeń aplikacji webowych i witryn internetowych.
- Testy aplikacji mobilnych – w ich trakcie aplikacje analizowane są zarówno pod kątem oprogramowania, jak i podatności systemów, na jakich pracują (Android, MacOS)
- Stress testy – ich celem jest sprawdzenie przepustowości sieci i poziomu odporności serwerów związanych z aplikacją/stroną internetową.
Dodane przez Mikołaj Czarnecki
Doświadczony dziennikarz portalu Nowiny Zabrzańskie. Specjalizuje się w tematyce lokalnej Zabrza i regionu Górnego Śląska. Pasjonat spraw społecznych, kulturalnych i historycznych miasta.
