I test di penetrazione blackbox hanno senso se fosse possibile anche l'audit di una whitebox?

6

Supponiamo che io sia responsabile per un'applicazione nella mia azienda e decido di assumere esperti di sicurezza per eseguire un controllo di sicurezza. Supponiamo inoltre che la mia azienda possegga il codice sorgente dell'applicazione e che io sia autorizzato a consegnarlo agli esperti assunti.

Ci sono buone ragioni per preferire un test di penetrazione blackbox su una revisione del codice sorgente di sicurezza? A mio parere, un audit del codice sorgente identifica vulnerabilità critiche molto più rapide e più efficienti di un test di penetrazione blackbox. Perché dovrei lasciare che un esperto di sicurezza metta a martello la mia applicazione al buio, quando posso fornirgli informazioni interne come la configurazione del sistema e il codice sorgente per aiutarlo a dirigere meglio i suoi sforzi.

Per evitare confusione - quando parlo di una recensione del codice sorgente di sicurezza, presumo che consentirò agli esperti di sicurezza di eseguire anche test sull'applicazione, convalidare i risultati e provare diversi attacchi. L'obiettivo dell'audit è identificare i punti deboli e migliorare la sicurezza dell'applicazione in seguito.

    
posta Demento 07.10.2011 - 14:24
fonte

1 risposta

4

La revisione del codice sorgente è generalmente più efficace del pentesting della scatola nera. @Demento, hai articolato le ragioni per cui bene. E, a parte queste giustificazioni del primo principio, la revisione empirica del codice sorgente trova più vulnerabilità del pentesting della scatola nera. Ciò è particolarmente vero se la revisione del codice sorgente è combinata con l'analisi del rischio architettonico (ciò che Microsoft chiama modellazione delle minacce).

Il grande vantaggio del pentesting in black-box è che è notevolmente meno costoso e richiede meno esperienza. Questo è uno dei motivi per cui vedi così tante persone usare il pentesting della scatola nera: è molto più economico, e cattura ancora una significativa frazione di vulnerabilità.

Personalmente, raccomando che se si utilizza la revisione del codice sorgente, si dovrebbe anche combinarlo con pentesting black-box. Il pentesting in black-box costa solo una frazione del costo della revisione del codice sorgente. E i dati empirici suggeriscono che il pentesting della scatola nera + la revisione del codice sorgente trovano più bug di quanti ne trovino da soli. Pertanto, l'utilità marginale del pentesting di black-box è probabilmente la pena, anche se stai già facendo la revisione del codice sorgente.

    
risposta data 09.10.2011 - 00:03
fonte

Leggi altre domande sui tag