Různé typy penetračních testů

Publikováno: 25. dubna 2021

 

Penetrační testy můžeme dělit podle několika různých pohledů. Je důležité vědět dopředu, čeho chcete testováním dosáhnout a podle toho zvolit odpovídající test. Jednotlivé druhy lze různě kombinovat.

Na základě informací dostupných před testem (české názvy se nepoužívají)

  • Black box test – nepředpokládá žádnou znalost vnitřní struktury a implementačních podrobností posuzovaného aktiva. Je nutná důkladná fáze průzkumu testovaných aktiv.
  • Grey box test – testerům se poskytuje dohodnutá úroveň informací, která pomáhá zkrátit fázi průzkumu a umožňuje rozsáhlejší testování. Obvykle jsou k dispozici informace o aktivech, účtech a funkcích. Pokud je to možné, je pro každou roli poskytován základní přístup k aplikaci. Další podrobnosti, jako je architektura, informace o použitých technologiích atd. mohou, nebo nemusí být k dispozici.
  • White box test – předpokládá výslovnou a podstatnou znalost vnitřní struktury a podrobností implementace testovaných aktiv (design, zdrojový kód, technický popis atd.), aby byla identifikace slabých míst maximálně efektivní.

Na základě rozsahu

  • Partiall stack– do testu je zahrnuta podmnožina podnikové infrastruktury, přičemž jsou současně výslovně vyloučeny další části (typy aktiv, funkce, vrstvy, podsítě atd.), které s testovaným rozsahem nějak souvisí (např. funkcí, nebo polohou).
  • Full stack – do testu je zahrnuta podmnožina podnikové infrastruktury, která tvoří nějaký celek (např. aplikace, pobočka firmy), případně je zahrnuta celá infrastruktura.
  • sociální inženýrství – zaměřuje se na „hackování“ chování lidí, tj. jedná se o snahu přimět zaměstnance jednat způsobem, který umožní útočníkům dosáhnout jejich cíle (získat informace, kontrolu, něco poškodit apod.)
  • fyzický přístup – zahrnuje testování firemní budovy, kanceláří, datového centra a dalších kontrolu fyzického přístupu
  • úplný test – zahrnuje útok na společnost ze všech dostupných vektorů – technického, sociálního, fyzického atd.

Na základě týmové struktury

  • jednorázový test
    tým penetračních testerů – interní nebo externí (poskytovatel služeb) tým bezpečnostních testerů s definovaným rozsahem testu, kteří se pokoušejí obejít bezpečnostní prvky informačního systému v předem definovaném, omezeném časovém rámci
  • dlouhodobé testování
    červený tým – skupina, která simuluje útočníky za účelem zjištění nedostatků v obraně organizace. Jedná se o nepřetržité úsilí trvající i měsíce a zaměřující se na společnost jako celek. Testování se často provádí v provozním prostředí.
    modrý tým – skupina odpovědná za obranu informačních systémů proti červenému týmu udržováním jejich bezpečnostní pozice. Aktivita je také dlouhodobá a trvá, dokud je aktivní červený tým.

Kontakt


+ 420 725 854 294
info@zagsecurity.com
Data Security Services s.r.o.
Radlická 663/28, 150 00 Praha

© 2021  |  zagsecurity.com  |  Zásady zpracování osobních údajů