Sigurnosna procjena (security audit) - što je i kako teče
Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.
Pročitaj
Black box testiranje je pristup penetracijskom testiranju u kojem tester nema nikakvo prethodno znanje o sustavu, ni izvorni kod, ni dijagrame mreže, ni pristupne podatke, pa simulira napadača koji vašu firmu napada izvana. White box testiranje je suprotnost: tester dobiva puni uvid u kod, arhitekturu i konfiguraciju. Grey box testiranje je sredina, gdje tester ima djelomično znanje, najčešće korisnički račun ili osnovnu dokumentaciju.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Odabir između ova tri pristupa nije tehnička sitnica. On izravno određuje što ćete iz testa naučiti, koliko će test trajati i koliko će koštati. U nastavku objašnjavamo kako svaki pristup radi, gdje ima smisla i kako odabrati pravi za vašu organizaciju, bilo da vodite preduzeće u Mostaru, banku u Sarajevu ili e-trgovinu koja posluje u cijeloj regiji.
Što je black box testiranje?
Kod black box testiranja tester pristupa sustavu kao stvarni vanjski napadač: zna samo ono što zna i bilo koji anonimni korisnik s interneta, najčešće tek naziv firme ili domenu. Nema pristup izvornom kodu, mrežnim dijagramima ni internim računima. Cilj je odgovoriti na praktično pitanje: koliko daleko može doći netko tko nas napada izvana, bez ikakve pomoći iznutra?
Tipičan tok black box testa ide ovako:
- Izviđanje (reconnaissance): prikupljanje javno dostupnih informacija, poput DNS zapisa, poddomena, izloženih servisa, podataka iz prethodnih curenja i informacija s LinkedIna o zaposlenicima.
- Skeniranje i enumeracija: mapiranje otvorenih portova, verzija servisa i tehnologija koje aplikacija koristi.
- Pronalazak ranjivosti: identifikacija slabosti poput zastarjelih komponenti, pogrešnih konfiguracija ili ranjivih web formi.
- Eksploatacija: pokušaj iskorištavanja pronađenih slabosti kako bi se dokazao stvaran utjecaj.
- Izvještavanje: dokumentacija nalaza s preporukama za ispravak.
Glavna prednost black box pristupa je realizam, jer rezultat najvjernije odražava ono čemu je vaša firma izložena u stvarnom svijetu. Glavni nedostatak je pokrivenost: budući da tester počinje od nule, dio vremena odlazi na otkrivanje informacija koje bi white box tester već imao. Ranjivosti skrivene duboko u kodu ili u dijelovima aplikacije do kojih napadač izvana ne dođe mogu ostati neotkrivene. Zato black box testiranje daje točan presjek vanjske izloženosti, ali ne nužno potpunu sliku svih slabosti.
Što je white box testiranje?
White box testiranje (poznato i kao clear box ili glass box) ide u suprotnom smjeru. Tester dobiva sve: izvorni kod, dokumentaciju arhitekture, mrežne dijagrame, pristupne podatke i ponekad razgovor s razvojnim timom. Pristup je transparentan i temeljit.
Budući da tester vidi unutrašnjost sustava, može pregledati logiku koju black box test nikad ne bi dosegnuo, na primjer kako se obrađuju ulazni podaci u pozadinskoj funkciji, kako su posloženi privilegijski nivoi ili gdje se kriptografski ključevi pohranjuju. Ovo je najbolji pristup kada želite maksimalnu dubinu i pokrivenost, recimo prije izlaska nove aplikacije na tržište ili pri reviziji kritičnog sustava.
Cijena te dubine je dvojaka. Prvo, white box test zahtijeva više vremena i suradnju vašeg tima, jer netko mora pripremiti pristup i odgovarati na pitanja. Drugo, budući da tester zna previše, rezultat ne odražava nužno ono što bi stvarni napadač bez insajderskih informacija uspio. Drugim riječima, white box odgovara na pitanje koliko smo sigurni iznutra, a ne koliko nas je lako napasti izvana.
Što je grey box testiranje?
Grey box testiranje spaja praktičnost oba pristupa. Tester dobiva djelomično znanje, tipično jedan ili više korisničkih računa, osnovnu dokumentaciju ili ograničen uvid u arhitekturu, ali ne i puni izvorni kod. Ovaj pristup vrlo dobro simulira dva česta scenarija: napadača koji je već došao do valjanih pristupnih podataka (recimo phishingom) i zlonamjernog ili kompromitiranog zaposlenika.
U praksi je grey box najčešći izbor za web aplikacije i interne mreže jer nudi dobar omjer realizma i pokrivenosti. Tester ne troši dane na izviđanje od nule, a opet pristupa sustavu iz pozicije bliske stvarnoj prijetnji. Provjerava se i horizontalna eskalacija (može li jedan korisnik vidjeti podatke drugog) i vertikalna eskalacija (može li običan korisnik dobiti administratorske ovlasti), a to su pitanja koja su za većinu firmi u BiH i regiji izravno relevantna.
Usporedba: black box vs white box vs grey box
| Kriterij | Black box | White box | Grey box |
|---|---|---|---|
| Razina znanja testera | Bez znanja | Potpuno znanje | Djelomično znanje |
| Simulira | Vanjskog napadača | Internu reviziju / razvoj | Napadača s pristupom ili insajdera |
| Pokrivenost | Niža (samo izvana) | Najviša | Visoka |
| Realizam | Najviši | Niži | Visok |
| Vrijeme i trošak | Srednji | Najveći | Optimalan |
| Potrebna suradnja vašeg tima | Minimalna | Velika | Umjerena |
Isti sustav, tri pristupa: konkretan primjer
Da bi razlika bila opipljiva, zamislimo internu web aplikaciju za upravljanje narudžbama jednog distributera iz Mostara. Ista aplikacija testirana na tri načina dat će tri različite slike.
- Black box: tester dobiva samo URL prijavne stranice. Vrijeme troši na otkrivanje skrivenih putanja, testiranje forme za prijavu na slabe lozinke i pokušaje zaobilaženja autentifikacije. Ako je prijava dobro zaštićena, tester možda nikad ne dosegne ranjivost koja postoji iza nje, ali zato vjerno pokazuje koliko je teško ući izvana.
- Grey box: tester dobiva račun običnog korisnika. Sada provjerava može li tim računom vidjeti ili mijenjati narudžbe drugih klijenata (nesigurna izravna referenca na objekt), može li promijeniti vlastitu ulogu u administratorsku i kako se aplikacija ponaša na manipulirane zahtjeve. Otkriva se znatno više, jer test kreće iza prijave.
- White box: tester uz račun dobiva i izvorni kod. Može pročitati kako se generiraju tokeni sesije, gdje se SQL upiti grade spajanjem stringova i je li lozinka pohranjena sigurnim algoritmom. Pronalazi i slabosti koje se izvana teško uoče, ali koje bi u određenim uvjetima mogle postati ozbiljan problem.
Pouka primjera: ista ranjivost može biti nevidljiva u jednom pristupu, a očita u drugom. Zato izbor pristupa nije pitanje boljeg ili lošijeg testa, nego pitanja na koje želite odgovor.
Metodologije i standardi iza testiranja
Bez obzira na odabrani pristup, ozbiljno penetracijsko testiranje oslanja se na priznate metodologije, a ne na proizvoljan redoslijed alata. Najčešće se koriste:
- OWASP Testing Guide i OWASP Top 10 je referentni okvir za testiranje web aplikacija, koji pokriva najčešće kategorije ranjivosti poput injekcija, slabe autentifikacije i pogrešnih konfiguracija.
- PTES (Penetration Testing Execution Standard) opisuje faze angažmana od pripreme i prikupljanja informacija do eksploatacije i izvještavanja.
- NIST SP 800-115 donosi tehničke smjernice za sigurnosno testiranje i procjene koje mnoge organizacije koriste kao osnovu.
Ove metodologije osiguravaju da je test ponovljiv i da pokriva relevantne kategorije rizika, što je posebno važno ako rezultate trebate predočiti reviziji, partneru ili u sklopu pripreme za ISO 27001. Black box, white box i grey box nisu zamjena za metodologiju, jer oni određuju koliko znanja tester unosi, dok metodologija određuje kako sistematski radi.
Što dobivate u izvještaju i kako se ispravlja
Test ima vrijednost tek kada se nalazi pretvore u konkretne ispravke. Kvalitetan izvještaj o penetracijskom testiranju trebao bi sadržavati sažetak za upravu (poslovni jezik, bez tehničkog žargona), detaljan tehnički opis svake ranjivosti, procjenu ozbiljnosti, dokaz iskoristivosti i jasne preporuke za otklanjanje. Ozbiljnost se najčešće rangira prema CVSS sustavu, što pomaže timu da odredi prioritete, pa se prvo rješava ono što je istovremeno lako iskoristivo i ima velik utjecaj.
Nakon ispravaka preporučuje se ponovni test (retest) kako bi se potvrdilo da su ranjivosti stvarno zatvorene i da popravak nije slučajno otvorio novu slabost. Za firme i preduzeća koja sigurnost shvaćaju ozbiljno, penetracijsko testiranje nije jednokratan događaj, nego se ponavlja periodično i nakon značajnih promjena na sustavu.
Kako odabrati pravi pristup
Ne postoji univerzalno najbolji pristup, jer ispravan izbor ovisi o tome na koje pitanje želite odgovor i koji je cilj testa. Nekoliko praktičnih smjernica:
Odaberite black box kada…
Želite procijeniti vanjsku izloženost i vidjeti kako vaša firma izgleda iz perspektive stvarnog napadača s interneta. Black box testiranje ima smisla za godišnju provjeru perimetra, prije ili nakon većih promjena na javno dostupnim sustavima, te kada želite test koji ne opterećuje vaš tim pripremama.
Odaberite white box kada…
Sigurnost je kritična, a vi tražite maksimalnu dubinu, na primjer kod financijskih aplikacija, zdravstvenih sustava ili softvera koji obrađuje osjetljive podatke. White box je također logičan dio sigurnog razvojnog ciklusa, gdje se kod pregledava prije produkcije.
Odaberite grey box kada…
Tražite najbolji omjer pokrivenosti, realizma i troška, što je za većinu web aplikacija i internih mreža slučaj. Grey box je i prirodan izbor kada vas zanima što kompromitirani korisnički račun ili nezadovoljni zaposlenik mogu učiniti.
U mnogim ozbiljnim angažmanima pristupi se kombiniraju: black box faza za procjenu vanjske izloženosti, a zatim grey ili white box faza za dubinsku analizu unutrašnjosti. Ako niste sigurni što vam treba, korisno je krenuti od jasne definicije cilja i opsega. Naš upitnik za penetracijsko testiranje pomaže da kroz nekoliko pitanja dođete do pravog opsega bez nepotrebnog troška.
Kako NeoBit pristupa testiranju
U NeoBitu, cyber security kompaniji iz Mostara, prilagođavamo metodologiju stvarnom riziku i ciljevima klijenta umjesto da nudimo jedan paket za sve. Za firme i preduzeća u BiH i regiji to u praksi znači jasno definiran opseg, ponovljivu metodologiju i izvještaj koji vaš tim može stvarno upotrijebiti za ispravke, a ne samo dugačku listu nalaza bez konteksta.
Penetracijsko testiranje je samo jedan dio šire slike. Kontinuirani nadzor kroz Guardian 360 SOC (MDR), odgovor na incidente i priprema za ISO 27001 zaokružuju sigurnosnu poziciju organizacije. Više o tome kako pristupamo svakom od ovih područja možete pronaći na stranici naših servisa i usluga.
Često postavljana pitanja
Je li black box testiranje dovoljno za moju firmu?
Ovisi o cilju. Black box testiranje odlično odgovara na pitanje koliko ste izloženi vanjskom napadaču, ali zbog ograničene pokrivenosti može propustiti ranjivosti skrivene dublje u sustavu. Za potpuniju sliku većina firmi kombinira black box s grey ili white box fazom.
Koja je razlika između grey box i white box testiranja?
Grey box tester ima djelomično znanje, obično korisnički račun i osnovnu dokumentaciju, i simulira napadača s pristupom ili insajdera. White box tester ima potpuni uvid, uključujući izvorni kod, pa može pregledati internu logiku koju grey box ne dosegne. White box daje veću dubinu, a grey box veći realizam uz manji trošak.
Koliko traje penetracijsko testiranje?
Trajanje ovisi o opsegu, pristupu i složenosti sustava. Manji black box test web aplikacije može trajati nekoliko dana, dok opsežan white box angažman na složenom sustavu može trajati i nekoliko tjedana. Točan okvir definira se nakon razgovora o opsegu i ciljevima.
Kako odabrati pravi pristup za moju organizaciju?
Krenite od pitanja na koje želite odgovor: zanima li vas vanjska izloženost (black box), maksimalna dubina i sigurnost koda (white box) ili realan scenarij napada s pristupom uz dobru pokrivenost (grey box). Ako niste sigurni, slobodno nas kontaktirajte i pomoći ćemo vam definirati opseg.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Penetration testing vs skeniranje ranjivosti - što odabrati · OWASP Top 10: najčešće web ranjivosti objašnjene
