Tipos de pruebas de penetración
El tipo de prueba de penetración normalmente depende del alcance y los deseos y requisitos de la organización. Este capítulo analiza los diferentes tipos de pruebas de penetración. También se conoce comoPen Testing.
Tipos de pruebas de penetración
Los siguientes son los tipos importantes de pruebas de penetración:
- Prueba de penetración de caja negra
- Prueba de penetración de caja blanca
- Prueba de penetración de caja gris
Para una mejor comprensión, analicemos cada uno de ellos en detalle:
Prueba de penetración de caja negra
En las pruebas de penetración de caja negra, el probador no tiene idea de los sistemas que va a probar. Está interesado en recopilar información sobre la red o el sistema de destino. Por ejemplo, en esta prueba, un evaluador solo sabe cuál debería ser el resultado esperado y no sabe cómo llega el resultado. No examina ningún código de programación.
Ventajas de las pruebas de penetración de caja negra
Tiene las siguientes ventajas:
El evaluador no tiene por qué ser necesariamente un experto, ya que no exige un conocimiento específico del idioma
El probador verifica las contradicciones en el sistema real y las especificaciones
La prueba generalmente se realiza con la perspectiva de un usuario, no del diseñador
Desventajas de las pruebas de penetración de caja negra
Sus desventajas son:
En particular, este tipo de casos de prueba son difíciles de diseñar.
Posiblemente, no vale la pena, en caso de que el diseñador ya haya realizado un caso de prueba.
No conduce todo.
Prueba de penetración de caja blanca
Esta es una prueba completa, ya que el probador ha recibido una amplia gama de información sobre los sistemas y / o la red, como el esquema, el código fuente, los detalles del sistema operativo, la dirección IP, etc. Normalmente se considera como una simulación de un ataque de un fuente interna. También se conoce como prueba estructural, de caja de vidrio, caja transparente y caja abierta.
Las pruebas de penetración de caja blanca examinan la cobertura del código y realizan pruebas de flujo de datos, pruebas de ruta, pruebas de bucle, etc.
Ventajas de las pruebas de penetración de caja blanca
Tiene las siguientes ventajas:
Garantiza que se hayan ejercido todas las rutas independientes de un módulo.
Asegura que todas las decisiones lógicas se hayan verificado junto con su valor verdadero y falso.
Descubre los errores tipográficos y comprueba la sintaxis.
Encuentra los errores de diseño que pueden haber ocurrido debido a la diferencia entre el flujo lógico del programa y la ejecución real.
Prueba de penetración de caja gris
En este tipo de prueba, un probador generalmente proporciona información parcial o limitada sobre los detalles internos del programa de un sistema. Puede considerarse como un ataque de un pirata informático externo que había obtenido acceso ilegítimo a los documentos de la infraestructura de red de una organización.
Ventajas de las pruebas de penetración de caja gris
Tiene las siguientes ventajas:
Como el probador no requiere el acceso al código fuente, no es intrusivo e imparcial.
Como existe una clara diferencia entre un desarrollador y un tester, existe el menor riesgo de conflicto personal
No es necesario que proporcione información interna sobre las funciones del programa y otras operaciones
Áreas de prueba de penetración
Las pruebas de penetración se realizan normalmente en las siguientes tres áreas:
Network Penetration Testing- En esta prueba, la estructura física de un sistema debe probarse para identificar la vulnerabilidad y el riesgo que garantiza la seguridad en una red. En el entorno de red, un evaluador identifica fallas de seguridad en el diseño, implementación u operación de la red de la empresa / organización respectiva. Los dispositivos que son probados por un evaluador pueden ser computadoras, módems o incluso dispositivos de acceso remoto, etc.
Application Penetration Testing- En esta prueba, se debe probar la estructura lógica del sistema. Es una simulación de ataque diseñada para exponer la eficiencia de los controles de seguridad de una aplicación al identificar la vulnerabilidad y el riesgo. El cortafuegos y otros sistemas de monitoreo se utilizan para proteger el sistema de seguridad, pero en ocasiones, es necesario realizar pruebas específicas, especialmente cuando se permite que el tráfico atraviese el cortafuegos.
The response or workflow of the system- Esta es la tercera área que debe probarse. La ingeniería social recopila información sobre la interacción humana para obtener información sobre una organización y sus computadoras. Es beneficioso probar la capacidad de la organización respectiva para evitar el acceso no autorizado a sus sistemas de información. Asimismo, esta prueba está diseñada exclusivamente para el flujo de trabajo de la organización / empresa.