Rodzaje testów penetracyjnych i ich zalety
Testy penetracyjne to bardzo popularne rozwiązanie, które wykorzystywane jest do sprawdzania zabezpieczeń wykorzystywanych w systemach teleinformatycznych. Sprawdzają one czy dany system nie posiada słabych punktów, które z kolei mogłyby zostać wykorzystane do zdobyć ważnych i często bardzo cennych informacji przez niepowołane osoby. Rozróżnia się kilka rodzajów testów tego rodzaju.
Testy black box – symulacja realnych warunków
Test penetracyjny black box przeprowadza się z założeniem posiadania minimalnej wiedzy przez osoby go przeprowadzające. Takie osoby postawione są na miejscu potencjalnego przestępcy, który próbuje do systemu dostać się z zewnątrz i wykraść cenne dla danej instytucji informacje. Testerzy nie mają więc na przykład dostępu do kodu stron, ani struktury sieci, ale jedynie do takich informacji, jakie potencjalnie zdobyć każda osoba dobrze poruszająca się po sieci. Celem takiego testu jest więc odnalezienie otwartych furtek, które pozwalają osobom niepowołanym znaleźć się wewnątrz systemu. Oczywiście wielu hakerów wykorzystuje również nielegalne źródła informacji jak na przykład oszustwa, podszywanie się pod pracowników firm, czy wirusy komputerowe. Testy penetracyjne (www.pwc.pl) na najwyższym poziomie mogą symulować również tego rodzaju możliwości.
Testy penetracyjne z pełną wiedzą – możliwość przeszukania całego systemu
Innym rodzajem testów są testy penetracyjne z pełną wiedzą. Tutaj testerzy posiadają od początku wszystkie informacje, które dostępne są dla twórców danego systemu – między innymi do kodu źródłowego stron internetowych. Praca w takim wypadku polega więc na szeroko zakrojonej analizie, pod kątem znalezienia potencjalnych furtek, którymi można by się dostać do systemu z zewnątrz. Tego rodzaju testy mogą trwać bardzo długo, a ich zasadniczym i finalnym celem jest wskazanie potencjalnych luk w systemie, dzięki czemu później możliwe jest wprowadzenie odpowiednich zmian i zabezpieczeń. Specyficznym rodzajem działania są testy grey box, które łączą zalety obu opisanych typów testowania.