Teste de invasão: o que é white-box e black-box?

Teste-de-invasão--o-que-é-white-box-e-black-box

O teste de invasão (pentest) é uma medida de segurança que simula ataques a uma aplicação web com o objetivo de identificar e corrigir vulnerabilidades de segurança que estão presentes nos sistemas e que poderiam ser exploradas por alguém mal-intencionado. Ao contrário da Blindagem de Sites, a análise aqui é feita de forma manual e ambas são complementares já que cada uma atua para encontrar e corrigir problemas específicos da aplicação.

Um teste de invasão pode ser feito de duas maneiras. Uma delas é com uma visão externa à companhia, ou seja, como se o ataque viesse de alguém que não tem qualquer contato com a empresa. A outra forma é a partir da empresa, ou seja, como se um funcionário fizesse a invasão. Esses modelos são chamados respectivamente de black box e white box e abaixo explicamos melhor sobre como funciona cada um deles.

Black Box

Do inglês, caixa preta. O pentester, ou seja, a pessoa responsável pela execução do teste, faz a análise como se o sistema fosse uma espécie de “caixa vedada”, que protegesse informações sobre infraestrutura e sistemas da rede auditada.

Há aqui uma análise inicial um pouco mais prolongada que no modelo White Box, onde é necessário uma pesquisa sobre a empresa e suas características, diretores, filiais, serviços prestados, softwares adotados por ela, arquitetura da rede e outros fatores que ajudem a identificar as variáveis para o teste de invasão.

Geralmente o intuito do teste de invasão do tipo Black Box é simular um ataque hacker por alguém externo à empresa, ou seja, alguém que realmente não tenha um acesso fácil às informações da mesma. É um teste “às cegas” em relação aos dados fornecidos antecipadamente, mas que pode identificar as vulnerabilidades que poderiam facilitar esse tipo de invasão.

White Box

Do inglês, caixa branca. Neste caso, a pessoa que faz o teste tem conhecimento prévio de toda a infraestrutura analisada: mapeamento de rede, IPs, firewalls, roteadores e outras informações da empresa.

Neste formato de teste de invasão, o auditor possui um grande nível de informações para analisar todos os serviços que puder e focar seus esforços em identificar e explorar vulnerabilidades, sem ter que descobrir informações básicas.

O intuito do White Box costuma ser o de identificar vulnerabilidades que podem ser exploradas de dentro da empresa, por um colaborador ou consultor com objetivos questionáveis. A intenção é entender que tipo de informações confidenciais poderiam ser roubadas e evitar os ataques.

Para que uma visão interna seja ainda mais nítida, o auditor pentester pode receber um acesso de usuário do sistema interno ou ainda uma conta de e-mail comumente usada por um colaborador da empresa.

O teste de invasão já faz parte de sua rotina de segurança? Caso ainda não faça, preencha o formulário abaixo e solicite uma avaliação de sua segurança pela Site Blindado!

Comente

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s