Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники. Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами.

В этой статье мы разберемся:

• чем отличаются методологии «черного», «серого» и «белого ящика»;

• какую из них выбрать под конкретные риски;

• как подготовиться к тестированию, чтобы не тратить деньги впустую;

• и почему даже «зеленый» отчет сам по себе — не повод выдыхать.

Компания с низким уровнем киберзащиты — легкая добыча для конкурентов, хактивистов, вымогателей и других атакующих. Никакие сертификаты ФСТЭК или ISO не станут «броней» от ИБ-инцидентов. Настоящую картину показывает только практика — тесты на проникновение.

Конечно, если в компании трудятся полтора землекопа три бухгалтера с ноутбуками, а единственный сервис — сайт-визитка, — говорить о пентесте еще рано. Но если в инфраструктуре есть хотя бы несколько серверов и бизнес зависит от данных, наступательная безопасность становится необходимостью.

Black box

Черный ящик — это игра вслепую. Пентестер имитирует действия внешнего злоумышленника, который ничего не знает об инфраструктуре компании и ее сервисах. В его распоряжении только название организации — например, ООО «Рога и копыта».

Такого злоумышленника можно сравнить с обычным вором, который пришел в магазин без малейшего представления о его поставщиках, бизнес-процессах, складских запасах.

Основным методом разведки в таких условиях становится OSINT — сбор открытой информации о цели. Пентестеры пытаются выудить как можно больше данных из публичных источников, чтобы найти уязвимости в защите компании. Затем продолжают исследования уже более инвазивными методами: сканируют сетевой периметр организации, вручную тестируют точки входа и в конце концов находят способ проникнуть внутрь.

Иногда в таких пентестах заказчик предоставляет базовые входные данные: ограниченный скоуп (например, список доменов) или ASN (Autonomous System Number), по которому можно определить внешние сервисы компании.

Взаимодействие с заказчиком в рамках этого метода сводится к регулярному health check: всё ли идет по плану, не мешает ли проверка нормальной работе сервисов. Если оказывается, что нагрузка на инфраструктуру растет, пентестеры снижают интенсивность атак. Также ИБ-команда заказчика может запросить сигнатуры, чтобы отличать активность пентестеров от реальных угроз.

Этапы пентеста по «черному ящику»

1. OSINT — сбор открытой информации об инфраструктуре или приложении.

2. Активная разведка — «прощупывание» сетевого периметра организации при помощи специальных инструментов. Уточнение технических деталей: версии ПО, открытые порты, конфигурации.

3. Эксплуатация уязвимостей — попытки проникновения во внутреннюю сеть или сервис.

4. Персистанс — закрепление в системе: настройка бэкдоров, создание устойчивых точек входа.

5. Подготовка отчета — документа с результатами проверки и рекомендациями.

В финальном отчете пентестеры описывают найденные уязвимости и предлагают конкретные меры защиты. Глубина анализа зависит от масштаба теста и количества обнаруженных проблем.

Достоинства и недостатки «черного ящика»

Главный козырь метода «черного ящика» — максимальная приближенность к действиям реального злоумышленника. Пентестеру, как и большинству хакеров, приходится использовать весь свой арсенал для поиска и эксплуатации уязвимостей.

Корпоративная сеть или приложение для него настоящая terra incognita, поэтому взгляд исполнителя остается свежим, не замыленным избыточной информацией. Поэтому проверка получается тщательной и охватывает разные типы и техники атак.

Однако у black box есть недостатки. Даже самые реалистичные учения не заменят настоящий бой: «черный ящик» не охватывает абсолютно все сценарии атак. Реальный злоумышленник может свободно рассылать фишинговые письма от имени госорганов или других компаний или взламывать личные устройства сотрудников, а для пентестера такие «грязные» методы чаще всего под запретом.

К тому же, если пентестеру не удается преодолеть внешний периметр, уязвимости внутренних сервисов остаются вне поля зрения — и, соответственно, не попадают в отчет. Это еще один существенный минус методологии.

Кому подойдет метод «черного ящика»

Прежде всего выбор методики пентеста зависит от актуальных ИБ-рисков. Формат «черного ящика» подходит, если наибольшую угрозу представляют внешние злоумышленники, а цель — проверить, насколько инфраструктура и сервисы устойчивы к атакам извне.

Такой подход также хорошо работает в компаниях с прозрачной ролевой моделью. Представьте ситуацию: системный администратор обладает практически неограниченными правами. В этом случае детально разбираться в доступах и потенциальных внутренних нарушителях становится бессмысленно. Остается только сконцентрироваться на внешних киберугрозах и надеяться, что всемогущий админ не решит перейти на темную сторону.

«Черный ящик» также выбирают компании с ограниченным бюджетом на кибербезопасность. Закономерность проста: чем глубже пентестеры погружаются во внутреннюю инфраструктуру, тем дольше длится проверка, тем больше ресурсов она требует и тем дороже обходится бизнесу.

Gray box

В этом случае тестирование проводится с позиции инсайдера — сотрудника, клиента, администратора или подрядчика компании, у которого уже есть ограниченный доступ к системе. Пентестеру заранее предоставляют часть информации об инфраструктуре или приложении, а также выдают учетную запись с определенными правами в системе.

В «сером ящике» акцент делается на проверку надежности ролевой модели: не слишком ли широкие полномочия предоставлены определенным ролям, может ли обычный пользователь повысить свои привилегии и получить права модератора или администратора.

Если продолжить аналогию с магазином, то здесь злоумышленник — это не прохожий с улицы, а продавец, знающий, где хранятся товары, кто поставщики и как меняются ценники.

Помимо прав доступа и учетных записей, пентестерам часто передают дополнительную документацию: схему сети, описание архитектуры, данные по API, список эндпоинтов, внутренние мануалы. Всё это помогает быстрее понять контекст и построить реалистичный сценарий атаки.

Иногда безопасники клиента делятся дополнительными деталями: известными уязвимостями, странным поведением систем, старыми инцидентами. Такая «история болезни» помогает сразу сфокусироваться на проблемных зонах и не терять время на разведку там, где и так всё понятно.

Чтобы получить нужные вводные, команда пентеста заранее отправляет в ИБ-службу заказчика опросники — с вопросами по инфраструктуре, технологиям, ролям. Чем внимательнее заказчик заполнит анкету, тем проще пентестерам будет выбрать инструменты, собрать команду и оценить сроки проекта.

Этапы пентеста по «серому ящику»

Последовательность шагов здесь почти такая же, как и в «черном ящике», но с некоторыми дополнениями. Итак, найдите четыре отличия:

1. OSINT — сбор открытой информации об инфраструктуре и сервисах.

2. Авторизация — пентестеры входят в систему под выданными учетными записями.

3. Анализ ролевой модели — изучение уровней доступа, доступных функций и ограничений.

4. Активная разведка — технический анализ доступных сервисов, конфигураций, взаимодействий между компонентами.

5. Эксплуатация уязвимостей — попытки получить дополнительные привилегии или доступ к критичным данным.

6. Атаки на бизнес-логику — проверка некорректной реализации процессов: ошибок в авторизации, неправильной обработки ролей и т. д.

7. Персистанс — закрепление в системе: создание скрытых точек входа или привилегированных аккаунтов.

8. Отчет — описание найденных проблем и рекомендаций по их устранению.

Достоинства и недостатки

Преимущество этой методологии — возможность сразу сфокусироваться на потенциально уязвимых компонентах и системах. Это становится возможным благодаря изучению проектной документации на старте проверки.

Учетная запись с правами доступа позволяет моделировать действия злоумышленника, который уже находится внутри сети — например, бывшего сотрудника или уже давно закрепившегося там хакера.

Однако не обходится и без ложки дегтя. Такой пентест требует немало материальных, человеческих и временных ресурсов. ИБ-службе заказчика приходится выделять ответственных сотрудников, которые будут взаимодействовать с командой пентеста. Без такой поддержки невозможно достаточно глубоко погрузиться в инфраструктуру или приложение.

Кому подходит «серый ящик»

Эту методологию стоит выбирать наряду с Compromise Assessment, если возникли подозрения на нелегитимную активность внутри компании, или в качестве дополнения к расследованию инцидента. Например, случилась утечка данных, и всё указывает на «крота» в службе поддержки. Пентестер в таком случае получает доступ с аналогичными правами и проверяет, что можно сделать, находясь внутри в роли обычного инженера.

Метод «серого ящика» полезен в B2B-компаниях, где клиентам или подрядчикам выдаются ключи и токены доступа. Типичный пример — агрегатор такси, открывающий часть своих IT-систем для партнерских таксопарков.

Наличие большого числа подрядчиков и сложной ролевой модели — еще один весомый аргумент в пользу этого подхода. В тех же агрегаторах может быть целый зоопарк ролей: водители, админы таксопарков, служба поддержки, конечные пользователи. Пентест помогает навести порядок в этом разнообразии и понять реальные возможности каждой роли.

Наличие внутренних админпанелей также говорит в пользу пентеста по методике «серого ящика». Любой бэкофис тоже является полноценным сервисом со своей логикой, ролевыми моделями, потенциальными уязвимостями. Gray box позволяет получить доступ к админпанели и проанализировать ее с точки зрения кибербеза. 

Отдельный кейс — API-сервисы. Во многих компаниях архитектура строится на GraphQL или других гибких интерфейсах. Если предоставить им документацию по API, пентестеры смогут глубоко погрузиться в логику работы приложения и протестировать его со всех сторон.

White box

Тестирование по методологии «белого ящика» как игра с флеш-роялем на руках. Пентестеру известна исчерпывающая информация об инфраструктуре или приложении. В его распоряжении:

• исходный код приложений;

• конфиги;

• документация по архитектуре;

• данные по бэкенду, фронтенду, микросервисам;

• сведения по DevOps (CD-пайплайны и прочее);

• ролевые модели и доступы;

• средства защиты и многое другое. 

Кроме того, пентестеру выделяют привилегированную учетную запись с правами только на чтение, а иногда и административные права.

Как и в случае с «серым ящиком», пентестер имитирует нечистоплотного инсайдера, только уже с гораздо более обширными правами в системе. В качестве возможных вариантов он может выступать в роли штатного разработчика, сотрудника ИБ-службы или системного администратора.

Еще одно сходство «белого ящика» с предыдущей методологией — ограниченный скоуп и ориентация на анализ внутренней инфраструктуры. Соответственно, от пентестера требуется умение профессионально работать с исходным кодом.

При тестировании инфраструктуры методом «белого ящика» проверка часто плавно перетекает в своеобразный внутренний аудит. 

Задача специалиста — проверить политики безопасности, ролевые модели, сервера и конфигурации на соответствие как общепринятым, и внутренним стандартам безопасности. Для этого он применяет как ручные методики, так и автоматизированные инструменты.

Этапы пентеста в формате «белого ящика»

Основные шаги здесь выглядят более лаконично:

• тестирование архитектуры, исходного кода и пайплайнов разработки;

• анализ и эксплуатация уязвимостей;

• отчет.

Этапов меньше, чем в «черном» или «сером» ящиках, но каждый из них требует глубокой проработки и по объему потянет на отдельный проект.

Классические OSINT и внешняя разведка здесь, как правило, отсутствуют. Зато появляется так называемый «внутренний OSINT» — пусть это и звучит как оксюморон. В роли источников выступают внутренние базы знаний, Confluence, вики, справочные материалы. В них зачастую скрыто много инсайтов об особенностях архитектуры и стека, ролевых моделях и доступах.

Достоинства и недостатки

Основное преимущество метода «белого ящика» — фокус на внутренних проблемах безопасности. В ходе такого пентеста можно обнаружить логические уязвимости, которые невозможно заметить извне. Благодаря этому у злоумышленников-инсайдеров становится меньше шансов навредить бизнесу — например, взломать бэкофис компании, похитить клиентскую базу или передать конфиденциальную информацию конкурентам.

Такой пентест помогает выявить привилегированных пользователей с избыточными правами, обнаружить отсутствие необходимого логирования и другие внутренние недочеты в ролевой модели и архитектуре безопасности.

К тому же данная методология существенно упрощает харденинг и корректирующие мероприятия. В отличие от «черного ящика», отчет содержит точечные, подробные инструкции по устранению найденных проблем. Например, указывается конкретная строка кода с уязвимостью и способы ее нейтрализации. Иногда — даже пошаговые гайды по выстраиванию безопасной архитектуры.

К сожалению, как и серый ящик, такой пентест затратен и не является панацеей. Тестировщики всегда ограничены по времени, тогда как реальные злоумышленники порой следят за своими жертвами годами. Поиск таких дремлющих компрометаций — отдельное искусство.

Кому подходит «белый ящик»

Первый и главный аргумент в пользу «белого ящика» — высокие риски атаки со стороны инсайдеров. На втором месте — подозрения на уязвимости в бизнес-логике приложений. Кроме того, эта методика хорошо подходит для проверки крупных, комплексных приложений, где трудно сразу охватить все возможные поверхности атаки.

Так, этот подход прижился в высокорисковых отраслях, например, в финтехе, поскольку позволяет бизнесу выполнить строгие регуляторные требования. Например, Центробанк обязывает финансовые организации проводить регулярные глубокие проверки кибербезопасности, включая анализ внутренних угроз.

Как сочетать «ящики пентеста» 

На практике перечисленные методологии пентестов редко существуют в чистом виде. Их комбинируют в зависимости от целей и хода проверки. 

Частый сценарий: первые одну-две недели пентестеры действуют как внешние злоумышленники. Если удается пробиться — начинается полноценный «серый» этап. 

Бывает, при атаке извне удается захватить привилегированную учетную запись. Это шанс, который нельзя упускать: проверка переходит в режим «внутреннего злоумышленника». А если удается получить исходный код — методика автоматически эволюционирует в «белый ящик».

Другой распространенный сценарий: тестирование по двум методологиям запускается одновременно и проводится параллельно. Например, компания решает сразу проверить защищенность своей инфраструктуры или приложения как от внешних угроз, так и от гипотетических внутренних злоумышленников.

Несколько полезных лайфхаков

Напоследок — несколько практических советов, как бизнесу и ИБ-службам выстроить работу с командой пентеста и получить от проверки максимум пользы.

Проводите пентесты регулярно

Периодичность пентестов зависит от отрасли, инфраструктуры и требований регуляторов. В большинстве случаев разумная периодичность — раз в квартал.

Устраняйте найденные уязвимости

По итогам теста стоит назначить сроки исправления критичных проблем, а затем убедиться, что они действительно устранены.

Заранее обсудите все нюансы с пентестерами

Профессиональная команда всегда старается учесть пожелания заказчика. Но если менять условия в разгар работы, это затрудняет процесс, увеличивает сроки и снижает качество результата.

Например, если заказчик внезапно просит логировать все действия и передавать их в SOC, тестировщикам приходится на лету менять подход. Время уходит на рутину, часть логов теряется, и итог страдает. Лучше согласовать такие детали заранее — тогда команда сразу подготовится и будет вести логбук с первого дня.

Не мешайте пентестерам работать

ИБ-специалисты не должны мешать тестировщикам, как будто те — реальные хакеры. Противодействие уместно в Red или Purple Team-проектах, но не при классическом пентесте. Такие действия создают помехи, увеличивают риски и затягивают сроки проекта.

Выбирайте методологию осознанно

Зрелые компании точно знают, какой формат тестирования им нужен, но если процессы ИБ еще в разработке — потребуется помощь. Мы проводим вводные встречи и предлагаем заказчику заполнить опросник. Это помогает собрать данные об инфраструктуре, угрозах, целях и ожиданиях бизнеса.

Важно, чтобы специалисты не отвечали формально, а делились деталями. Это позволяет выбрать подходящий формат: black box, white box, gray box или их комбинацию.

Меняйте команду при тестировании в формате black box

Если «черный ящик» показал мало уязвимостей и итоговый отчет получился «зеленым», расслабляться рано. Особенно если это не первый раз, когда эта команда проводит у вас проверку. 

Со временем взгляд замыливается, и пентестеры могут пропустить важные уязвимости. Поэтому мы в Бастионе стараемся ротировать специалистов, чтобы на инфраструктуру всегда смотрели свежим взглядом.

Упростите создание учетных записей для gray box

Если пентестерам приходится создавать новое ИП, чтобы зарегистрироваться в системе в качестве подрядчика, это тормозит процесс работы. Подобные барьеры только отвлекают от сути работы. Бизнесу стоит заранее обеспечить доступ, чтобы команда могла сосредоточиться на тестировании, а не на формальностях.

Проверьте инфраструктуру перед white и gray box

Если давно не было инвентаризации, легко забыть про важные хосты, исходники или домены. Бывает, что уязвимые сервисы находятся у подрядчиков и выпадают из поля зрения. Перед тестированием полезно провести экспресс-аудит. Это позволит точнее очертить скоуп, избежать сюрпризов и передать пентестерам актуальную информацию.

Методологии вроде «черного», «серого» и «белого ящика» — не просто названия. Это способы взглянуть на систему под разными углами. Каждый дает свою глубину, каждый вскрывает что-то свое. В идеале — их стоит комбинировать, чтобы картина была полной. Но даже самый тщательный пентест не спасет, если выводы останутся на уровне: «Ну, вроде не горит». Без устранения уязвимостей, без пересмотра архитектуры и работы над ошибками — это просто дорогой документ в папке «Отчеты».

Так что если вы уже проводите пентесты — отлично. Если только собираетесь — начните с вопроса: «Зачем именно нам это нужно?» Ну а если планов на пентесты совсем нет — возможно, пора пересмотреть подход к безопасности. 

PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад

t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона