Wie zich verdiept in pentests is vast de termen “black box”, “white box” en ook “grey box” tegen gekomen. Een black box pentest levert weer andere resultaten op dan een white box pentest. Maar wat is een black/white/grey box pentest? En wanneer zetten we welke in? In dit artikel geven we antwoord.
Wat is een pentest?
Een pentest is een aanvalssimulatie. Het test de veiligheid van systemen, netwerken of webapplicaties door deze actief aan te vallen zoals een hacker dat zou doen. De pentester – ook wel ethisch hacker – zet dezelfde technieken als kwaadwillenden in om kwetsbaarheden boven tafel te krijgen. Een pentest achterhaalt dus niet theoretisch wat de zwakke plekken zijn, maar bewijst het.
Het doel van een pentest is altijd het verbeteren van de cyberveiligheid van een organisatie. Zo’n aanvalssimulatie vindt enkel plaats met toestemming van de opdrachtgever. En na de pentest? Dan koppelt de ethisch hacker zijn of haar bevindingen terug en adviseert oplossingen voor de gevonden kwetsbaarheden.
Een pentest heeft altijd een scope: welke onderdelen moeten getest?
Wat is een black box pentest?
Een black box pentest lijkt het meest op een echte cyberaanval. Zonder van te voren ook maar iets van informatie te hebben, probeert de pentester binnen te dringen. De black box pentest schept daarmee een realistisch beeld van hoe de digitale infrastructuur eruit ziet vanuit het perspectief van een aanvaller.
Een black box pentest is goed te vergelijken met een spontane inbraak. Gelegenheidsinbrekers weten van te voren ook niet hoe een kantoorpand van binnen is, waar de buit ligt en via welke routes ze daar komen. Dat moeten ze ter plekke uitvogelen. Black box pentesters tasten van te voren dus volledig in het duister.
Wanneer een black box pentest?
Organisaties zetten een black box pentest in om vanuit een extern oogpunt inzicht te krijgen. Het weergeeft het meest realistisch hoe eenvoudig of lastig een aanval verloopt. Hoe snel en via welke weg komt een aanvaller binnen? En waar kan de aanvaller allemaal bij? Het geeft een mooi algemeen beeld van de beveiligingsomgeving.
Ook zetten organisaties black box pentests in om de response van beveiligingsmaatregelen zoals een SOC (blue team) te testen. Hoe snel wordt een aanval opgemerkt? En hoe snel komt er actie?
Voordelen black box pentest:
– Simuleert het meest realistisch een echte aanval
– Is vaak de minst dure pentest, want het kost meestal minder tijd
– Snel een rapportage
Nadeel black box pentest:
Het kan zijn dat de pentest bij – bijvoorbeeld – het inlogscherm van een website al stopt. In dat geval is het inlogscherm erg goed beveiligd. Maar misschien is alles wat daarachter zit enorm kwetsbaar? Wat gebeurt er wanneer een aanvaller met een phishingactie inloggegevens weet te achterhalen en wél verder komt dan het inlogscherm?
In dit geval is een grey box pentest handiger.
Wat is een grey box pentest?
Een grey box pentest lijkt op een black box pentest, maar het verschil is dat de ethisch hacker een heel klein beetje informatie heeft van te voren. Bijvoorbeeld dus de inloggegevens van een webapplicatie. Zo kan de pentester gegarandeerd dieper kijken waar kwetsbaarheden zitten en welke data te stelen is.
In het geval van een grey box pentest weten inbrekers van het kantoorpand van te voren al hoe ze binnen moeten komen. De vraag is alleen nog steeds waar de buit ligt en hoe ze daar raken. Tijdens een grey box pentest achterhaalt de pentester de kwetsbaarheden van binnenuit.
Wanneer een grey box pentest?
Een grey box pentest is meestal geschikter dan een black box pentest. Het geeft nog steeds een realistisch beeld van een echte aanval. Maar het geeft meer garantie op antwoorden op vragen als “Wat kunnen aanvallers als ze al binnen zijn?” of “Wat kunnen aanvallers met informatie X bereiken?”.
Voordelen grey box pentest:
– Simuleert echte aanvallen behoorlijk realistisch
– Zekerder dat er bruikbare informatie boven tafel komt
– Is minder duur dan een white box pentest
Nadeel grey box pentest:
Bij deze pentest kan de ethisch hacker meestal niet bij de broncode. Maar juist door de broncode te lezen kan de pentester kwetsbaarheden vinden die anders niet waren gevonden.
Wat is een white box pentest?
De white box pentest is de meest diepe en grondige pentest die er is. De ethisch hacker krijgt van te voren een stuk meer informatie. Bijvoorbeeld toegang tot de broncode. Of inzicht in de interne werking van een systeem.
In het geval van de inbreker heeft deze van te voren al de blauwdrukken van het kantoorpand. Het is volledig duidelijk waar alles zit.
Daardoor is de pentester in staat zo goed als álle kwetsbaarheden te achterhalen. Worden die kwetsbaarheden opgelost? Dan is het eindresultaat van een white box pentest het meest waterdicht.
Met een white box pentest is een organisatie ook in staat juist enkel hele specifieke onderdelen te laten testen. In dat geval geven ze de pentester informatie over waar ze die onderdelen kunnen vinden. Dan pluist de ethisch hacker uit welke kwetsbaarheden erin zitten. De scope hoeft dus niet oneindig breed te zijn bij een white box pentest.
Wanneer een white box pentest?
Deze pentest is het meest geschikt voor organisaties die inzicht willen in zo goed als álle kwetsbaarheden. Of voor opdrachtgevers die een aanval willen op belangrijke onderdelen van een systeem. Ook zetten webdevelopers een white box pentest vlak voordat een applicatie live gaat in. Want: het verhelpen van kwetsbaarheden is veel eenvoudiger als de app nog in development is.
Voordelen white box pentest:
– Haalt zo goed als álle kwetsbaarheden bovenwater
– Stelt opdrachtgevers in staat specifiek de meest kritische onderdelen te laten pentesten
Nadeel white box pentest:
Logischerwijs is een white box pentest de minst goedkope pentest. Hij is grondiger, en duurt dus ook langer. Daardoor ontvangt u wat later een rapportage. Maar: dan is hij wel het meest uitgebreid.
Bepaal het doel van uw pentest
Om te weten welke pentest geschikt is, helpt het zelf of samen met een security expert het doel van de pentest vast te stellen. Zo ontstaat er een scope en is het helder wat voor pentest nodig is. Soms blijkt zelfs dat juist Vulnerability Management een passendere oplossing is. Wij denken altijd vrijblijvend mee en geven passend advies!
Dus: overweegt u een pentest en heeft u vragen? Neem dan contact met ons op.
