Por se tratar de um serviço consultivo, o escopo do PenTest varia muito com a necessidade do cliente, mas em geral, temos PenTests de Aplicação, Servidor, Infraestrutura e Engenharia Social. Além disso, eles podem ser realizados nas modalidades de White Box, Black Box e Grey Box.
Abaixo temos algumas descrições dessas modalidades
White Box, ou testes autenticados, visam a segurança de sua tecnologia subjacente com pleno conhecimento do seu departamento de TI. As informações normalmente compartilhadas com o tester incluem: diagramas de rede, endereços IP, configurações do sistema e credenciais de acesso. Ele permite diferentes testes "baseados em função", permitindo que o analista que realiza o teste de penetração atue como qualquer indivíduo conectado à organização. Portanto, simula um ataque feito por alguém que tenha acesso a muitas informações da empresa, como por exemplo um funcionário.
Black box, ou testes não autenticados, representam de perto um hacker tentando obter acesso não autorizado a um sistema ou infraestrutura de TI para obter e extrair dados. O teste de penetração Black Box avalia a tecnologia subjacente, bem como as pessoas e os processos no local para identificar e bloquear ataques do mundo real. Os PenTesters não terão conhecimento prévio de sua organização e arquitetura. Portanto, simula um ataque feito por alguém que esteja fora da empresa, como um atacante externo.
Grey box está entre os dois modelos anteriores. Os PenTesters terão conhecimento de algumas áreas, mas não de outras. Essas áreas são definidas no início do projeto.
Comentários
0 comentário
Por favor, entre para comentar.