En las primeras conversaciones que tenemos con nuestros clientes, desde Hack by Security queremos dejar las cosa claras y sobre todo definidas, para ello muchas veces tenemos que hablar de términos técnicos o conceptos que entendemos que no tiene porqué conocer todo el mundo, cada empresa o persona está especializada, y por nuestra parte, el conocimiento se debe compartir, es por eso que muchas veces cuando hablamos de los conceptos pruebas de caja negra, caja gris o caja blanca, tenemos que explicarlos, y a eso vamos, a llevar la ciberseguridad a todo el mundo.
Pruebas de caja negra
HbS toma el rol de un ciberdelincuente, el cual no dispone de ningún tipo de conocimiento u información de la empresa, solo conoce un mínimo alcance, nos debemos encargar de recopilar todo tipo de información sobre el objetivo, esta información en primer lugar será la información pública y después se irá tomando contacto con los sistemas y servicios públicos de la empresa objetivo hasta descubrir las vulnerabilidades oportunas.
Pruebas de caja gris
HbS toma el rol de un cliente o un empleado con pocos o ningún privilegio, es decir de partida ya disponemos de algo de información del objetivo, muy poca, y una visión parcial de los sistemas. Permite ahorrar tiempo en la elaboración de los ataques, ya que se encuentra dentro de la empresa, serviría para verificar, entre otras cosas, los controles de seguridad internos y descubrir si un cliente podría hacerse con información que no deba o el control del sistema.
Pruebas de caja blanca
En este tipo de test, HbS adopta el rol de un usuario interno de la organización, el cual dispone de todo tipo de información sobre el objetivo, incluso credenciales de acceso para algún sistema o aplicación de la infraestructura objetivo. Se revisan configuraciones de sistemas, políticas, servicios y redes, código de aplicaciones, con el fin de encontrar puntos críticos que permitan a los usuarios con cierto grado de privilegios obtener acceso.
Es decir, como resumen podríamos decir que en las pruebas de caja negra disponemos de poquísima información, en las de caja gris un poco de información y en las de caja blanca, bastante información.
Y ahora, ¿qué tipo de pruebas debo hacer en mi empresa? Pues lo recomendable sería hacer todo tipo de pruebas, aunque las más comunes quizá sean las de caja negra, ya que nos haríamos pasar por ciberdelincuentes, pero por tiempo y costes se pueden ir rotando para estar siempre protegidos y verificar todos los sistemas de seguridad.
Y si te has quedado con alguna duda o pregunta, puedes contactar con Hack By Security en su correo electrónico: info@hackbysecurity.com