Tipos de Pentest: Black, White, Grey Box

Quando pensamos em testes de intrusão, devemos entender que cada empresa tem sua própria necessidade, e para isso, existem formas diferentes de se trabalhar de maneira efetiva em cada situação. Para isso, existem alguns tipos de pentest. Quer saber mais? Continue conosco no artigo abaixo.

O teste de intrusão se trata de um de serviço de consultoria, ou seja, varia completamente de cliente para cliente. Por isso, existem três tipos de pentest, onde cada uma tem sua própria particularidade em busca de encontrar defeitos no sistema analisado.

Em suma, existem três tipos de pentest, que serão explicados no decorrer do artigo: black, white e grey box.

Cada um dos três testes de intrusão tem sua própria maneira de trabalhar, porém, ambos têm a mesma finalidade: encontrar as vulnerabilidades do sistema e todas as falhas de segurança, para conseguir fazer as correções o mais rápido possível.

Atualmente, quando mantemos um website que contém dados pessoais ou de empresas de nossos clientes, é necessário se atentar à segurança de nosso site, principalmente com a existência da Lei de Proteção Geral de Dados (LGPD).

Desde que entrou em vigor, em setembro de 2020, a LGPD se tornou uma grande preocupação das empresas, sejam elas públicas ou privadas, que precisam proteger da melhor maneira possível os dados que os clientes dispõem dentro dos domínios das corporativas.

De fato, o teste de intrusão tem três finalidades: dar visibilidade aos problemas, explorar estes defeitos em busca de entender onde eles começam, e por fim, efetuar correções.

Para isso, o pentest se tornou, ainda mais do que no passado, um grande aliado das empresas, em busca das melhorias da infraestrutura disponível no momento.

Quais os tipos de pentest?

Como citado anteriormente, existem três tipos de pentest existentes, anteriormente, no blog da Softwall, falamos um pouco sobre eles, porém, vale a pena explicarmos um pouco mais:

Black Box

Também conhecido como teste cego, acontece quando a equipe contratada não tem nenhuma informação primária sobre o sistema da empresa contratante. Pelo fato dos pentesters não terem conhecimento acerca da infraestrutura analisada, é a modalidade que simula de maneira mais realista um ataque hacker.

Além disso, a modalidade “caixa preta“ pode ser feita de duas maneiras, o Blind, que é quando o cliente sabe exatamente quando a simulação de ataque será feita, e quais metodologias serão utilizadas, e o Double Blind, que é quando tanto o contratante quanto o contratado não tem nenhuma informação acerca do ataque, assim, ambos traçam a estratégia no momento em que a ação está acontecendo.

White Box

Entre os três tipos de pentest, é o mais requisitado entre as empresas que desejam efetuar um teste de intrusão. Neste formato, a equipe de pentesters tem conhecimento sobre toda a infraestrutura do cliente, e dessa forma, consegue traçar uma estratégia mais ampla para formalizar o ataque.

Nesta modalidade, são simulados ataques de dentro e de fora do sistema interno da empresa contratante. Porém, é o tipo de pentest que mais exige da equipe, pois, apesar de poupar tempo e recursos utilizados, é necessário que seja entregue um relatório que possa abranger todos os problemas de maneira mais específica.

Vale ressaltar, a modalidade “caixa branca” também conta com dois métodos, o Tandem e o Reversal, que são metodologias análogas ao que acontece no Blind e Double Blind do método Black Box.

Grey Box

Na modalidade “caixa cinza”, temos uma mescla dos dois tipos de pentest anteriores. Dessa forma, a equipe contratada para efetuar a análise tem conhecimento parcial da infraestrutura que será alvo de todo o processo.

Em suma, a terceira modalidade de pentest é feita a partir das informações obtidas sobre o sistema da empresa contratante, e então, estruturam o ataque, em busca das vulnerabilidades existentes.

Assim como nos outros dois métodos, também temos duas maneiras de efetuar esse tipo de pentest, que funcionam praticamente da mesma forma: o Grey-box e o Double Grey-box.

Como um pentest é feito? Existe algum risco?

Apesar do pentest ser um teste de invasão feito manualmente, por uma equipe especializada, em nenhum momento a ideia é prejudicar de qualquer forma o dia a dia da empresa.

Independente de qual dos tipos de pentest seja o escolhido pela sua empresa, a equipe da Softwall sempre utiliza as técnicas mais seguras para conseguir efetuar todo o relatório, identificando todos os problemas existentes na infraestrutura.

Além disso, seguimos todo um passo a passo, que vem desde o planejamento, passando pelo reconhecimento do ambiente existente na empresa, a análise dos códigos e como eles são aplicados, e geração de um relatório completo, destacando todas as falhas no sistema, as estratégias utilizadas e como melhorar tudo.

Por fim, nossa equipe ainda efetua um reteste, que varia dependendo da quantidade de problemas encontrados, mas que pode acontecer entre dois e seis meses, a partir do acordo efetuado com a empresa.

Qual a frequência para se fazer um pentest?

O pentest é vital para toda empresa que deseja manter a segurança de sua infraestrutura interna ou externa. Além disso, é requisitado principalmente por aquelas corporações que mantém em seu banco de dados informações importantes dos clientes, como CPF, e-mail, senhas, endereço, entre outros dados sensíveis ou pessoais protegidos pela LGPD.

Em suma, é ideal que o teste seja feito de maneira regular, respeitando uma frequência conforme alterações no ambiente digital venham a ocorrer, uma vez que diariamente existem novas atualizações que podem transformar um bom sistema em algo obsoleto.

Segundo pesquisa da core security, em 2022, 42% dos entrevistados fazem testes de intrusão de uma a duas vezes por ano, enquanto 17% efetuam os pentests a cada quatro meses. Em suma, o ideal é que a verificação seja feita sempre que uma alteração seja feita em sua empresa, isso é:

• instalação de um novo software.
• mudanças nas políticas de usuário final.
• implementação de uma nova rede.
• atualizações dos sistemas existentes na empresa.

Quer conhecer mais sobre os tipos de pentest, e conhecer a metodologia que melhor se encaixa na sua empresa? Entre em contato com a equipe da Softwall, e deixe sua segurança em dia para você e seu cliente.

“Sua segurança é o nosso objetivo”