O Pentest pode ser utilizado em diversos contextos – como em aplicações web, mobile ou APIs – e para vários fins – como compliance e merge & acquisitions (fusão e aquisição), por exemplo. Mas, dentro desses contextos e finalidades, existem 3 tipos de Pentest.
De forma geral, essas três categorias determinam qual é o tipo de acesso que o pentester (profissional que está realizando o teste) terá durante a sua execução.
Vamos entender um pouco melhor?
Tipos de Pentest
Como já mencionamos em outros artigos, um ataque cibernético pode ter diversas origens.
Ele pode vir de dentro da empresa, ou seja, de uma pessoa ou organização com algum tipo de acesso privilegiado. Ou de forma externa, procurando falhas e vulnerabilidades que podem ser exploradas no sistema.
Cada uma dessas origens representa um tipo diferente de ameaça, além de terem níveis de complexidade bem diferentes.
Um ataque interno, por exemplo, possivelmente será mais fácil e rápido, além de mais comprometedor. O externo, por outro lado, envolve maior estudo e tempo, por isso muitas vezes é identificado pelos procedimentos de resposta a incidentes.
Ao realizar um Pentest, é preciso levar tudo isso em consideração.
Portanto, para cobrir cada um desses cenários, existem 3 tipos de pentest: Black Box, White Box e Gray Box.
Imagem: Pentest White Box, Gray Box e Black Box.
Black Box
O Pentest Black Box é aquele em que o(s) pentester(s) envolvido(s) não terá nenhum ou quase nenhum tipo de informação sobre o alvo – como o diagrama de arquitetura ou código-fonte (a menos que eles estejam disponíveis publicamente).
Por conta disso, o profissional assume o papel de um ataque externo, em que o criminoso não tem nenhum tipo de acesso ou dado privilegiado. Dessa forma, devem ser usadas diversas metodologias e abordagens para encontrar uma ou mais vulnerabilidades no sistema.
O ponto negativo desse tipo de teste é que, caso o pentester não consiga realizar a invasão, pode ser que uma vulnerabilidade fique “escondida”, deixando de ser identificada e mantendo certo risco para a empresa.
Por outro lado, já que a ameaça vem de fora, o Pentest Black Box também demonstra a rapidez e eficácia dos procedimentos de resposta a incidentes.
White Box
Já o Pentest White Box é o total oposto. Aqui, o pentester terá acesso a diversas informações e acessos privilegiados – como o código fonte do sistema e documentação sobre a sua infraestrutura –, o que torna o teste mais profundo e completo.
Uma desvantagem é que, por conta do volume de informações, o teste pode levar um pouco mais de tempo do que os outros. Entretanto, o Pentest White Box tem uma boa cobertura e, com ele, a maioria das vulnerabilidades é identificada.
Esse tipo de teste também é muito usado quando uma aplicação ainda está em fase de testes.
Gray Box
O Pentest Gray Box, como o nome sugere, é um meio-termo entre o White Box e o Black Box. Nele, o pentester terá acesso parcial a informações, ou seja, é como se ele tivesse o mesmo tipo de acesso que um usuário padrão do sistema.
Algumas informações, como sobre a infraestrutura, são disponibilizadas, mas é necessário que o profissional as explore ativamente.
O Gray Box é muito comum principalmente em Pentest para aplicações Web, e normalmente foca em aspectos específicos da rede.
A utilização de cada tipo de Pentest deles irá depender do contexto e do objetivo de cada teste, mas cada um tem sua importância e suas vantagens.
Fale com a nossa equipe de pentesters e encontre a opção mais indicada para o seu caso.
Clique aqui para conhecer o trabalho da Vantico com o Pentest as a Service!