Qué son Black Box, White Box, y Grey Box
Qué son Black Box, White Box, y Grey Box

Pentest: ¿Qué son Black Box, White Box, y Grey Box?

Los pentesters son aparentemente grandes fanáticos de los colores. Diferentes roles dentro de las tareas de pentesting son designados como el Equipo Rojo (Red Team), el Equipo Azul (Blue Team), el Equipo Púrpura (Purple Team) y otros. Dado esto, no es sorprendente que los diferentes tipos de pentests sean designados por el color también. Puede que hayas oído hablar de pentesting de caja blanca (White Box), caja negra (Black Box) e incluso caja gris (Grey Box), pero puede que te preguntes qué significan estos términos.

Aquí, describiremos los tres tipos de pentesting, cómo elegir el tipo correcto para una tarea determinada y un acercamiento a la carrera de un pentester.

¿Qué es Pentesting?

Un pentest es una evaluación ética de la ciberseguridad realizada para identificar, explotar de forma segura y ayudar a eliminar las vulnerabilidades que residen en el entorno informático de una organización.

Se recomienda que todas las organizaciones encarguen la realización de pruebas al menos una vez al año, con evaluaciones adicionales después de cambios significativos en la infraestructura, así como antes del lanzamiento de productos, fusiones y adquisiciones. Las organizaciones con grandes patrimonios de TI, que procesan grandes volúmenes de datos personales y financieros, y que tienen estrictos requisitos de cumplimiento que cumplir, deberían considerar la posibilidad de realizar pruebas de penetración (Pentesting) con mayor frecuencia.

Clasificación de Pentesting

Las asignaciones de pentester se clasifican en función del nivel de conocimientos y el acceso concedido al pentester al comienzo de la asignación. El espectro va desde las pruebas de caja negra, en las que se da al probador (“tester”) un conocimiento mínimo del sistema objetivo, hasta las pruebas de caja blanca, donde el probador obtiene un alto nivel de conocimiento y acceso.. Este espectro de conocimientos hace que las diferentes metodologías de prueba (“testing”) sean ideales para diferentes situaciones.

Clasificación de Pentesting
Clasificación y Enfoque de Pentesting

Black-Box Testing

En una misión de pruebas de caja negra, el pentester (“probador de penetración“) se coloca en el papel del hacker promedio, sin conocimiento interno del sistema objetivo. A los probadores no se les proporciona ningún diagrama de arquitectura o código fuente que no esté disponible públicamente. Una prueba de penetración de caja negra determina las vulnerabilidades de un sistema que son explotables desde fuera de la red.

Esto significa que la prueba de penetración de caja negra se basa en el análisis dinámico de los programas y sistemas que se están ejecutando actualmente dentro de la red objetivo. Un probador de penetración de caja negra debe estar familiarizado con las herramientas de exploración automatizada y las metodologías para las pruebas de penetración manual. Los probadores de penetración de caja negra también deben ser capaces de crear su propio mapa de una red objetivo basado en sus observaciones, ya que no se les proporciona dicho diagrama.

Black-Box Testing
Black-Box Testing

Los limitados conocimientos que se proporcionan al probador de penetración hacen que las pruebas de penetración de caja negra sean las más rápidas de ejecutar, ya que la duración de la asignación depende en gran medida de la capacidad del probador para localizar y explotar las vulnerabilidades en los servicios de cara al exterior del objetivo. El principal inconveniente de este enfoque es que si los probadores no pueden traspasar el perímetro, cualquier vulnerabilidad de los servicios internos permanece sin descubrir y sin parchear.

Gray-Box Testing

El siguiente paso de la prueba de caja negra es la prueba de caja gris. Si un probador de caja negra está examinando un sistema desde la perspectiva de un extraño, un probador de caja gris tiene el acceso y los niveles de conocimiento de un usuario, potencialmente con elevados privilegios en un sistema. Los pentesters de caja gris tienen típicamente algún conocimiento de los elementos internos de una red, incluyendo potencialmente la documentación de diseño y arquitectura y una cuenta interna de la red.

Gray-Box Testing
Gray-Box Testing

El propósito del pentesting de caja gris es proporcionar una evaluación más enfocada y eficiente de la seguridad de una red que una evaluación de caja negra. Utilizando la documentación de diseño de una red, los pentesters pueden centrar sus esfuerzos de evaluación en los sistemas de mayor riesgo y valor desde el principio, en lugar de dedicar tiempo a determinar esta información por su cuenta. Una cuenta interna en el sistema también permite probar la seguridad dentro del perímetro reforzado y simular un atacante con acceso a la red a largo plazo.

White-Box Testing

Las pruebas de caja blanca se conocen con diferentes nombres, incluyendo pruebas de caja transparente (clear-box), caja abierta (open-box), auxiliares (auxiliary) y de manejo lógico (logic-driven). Se encuentra en el extremo opuesto del espectro de las pruebas de caja negra y los probadores de penetración tienen acceso completo al código fuente, la documentación de la arquitectura y así sucesivamente. El principal reto de las pruebas de caja blanca es examinar la enorme cantidad de datos disponibles para identificar los posibles puntos débiles, lo que hace que sea el tipo de prueba de penetración que más tiempo consume.

White-Box Testing
White-Box Testing

A diferencia de las pruebas de caja negra y caja gris, los probadores de penetración de caja blanca son capaces de realizar análisis de código estático, haciendo que la familiaridad con los analizadores de código fuente, depuradores y herramientas similares sea importante para este tipo de pruebas. Sin embargo, las herramientas y técnicas de análisis dinámico también son importantes para los probadores de caja blanca, ya que el análisis estático puede pasar por alto las vulnerabilidades introducidas por la mala configuración de los sistemas objetivos.

Las pruebas de penetración de la caja blanca proporcionan una evaluación completa de las vulnerabilidades tanto internas como externas, lo que las convierte en la mejor opción para las pruebas de cálculo. La estrecha relación entre los pentesters de caja blanca y los desarrolladores proporciona un alto nivel de conocimiento del sistema, pero puede afectar al comportamiento de los probadores, ya que operan en base a conocimientos no disponibles para los hackers.

Ventajas y Desventajas

Si todas las metodologías de pentesting funcionaran igual de bien, sólo se utilizaría una de ellas. Las principales compensaciones entre las pruebas de penetración de caja negra, caja gris y caja blanca son la precisión de la prueba y su velocidad, eficiencia y cobertura.

Exactitud del compromiso

El propósito de las pruebas de penetración es identificar y parchear las vulnerabilidades que serían explotadas por un atacante. Por lo tanto, la forma ideal de pruebas de penetración sería la caja negra (Black-Box), ya que la mayoría de los atacantes no conocen el funcionamiento interno de su red objetivo antes de lanzar su ataque. Sin embargo, el atacante promedio tiene mucho más tiempo para dedicar a su proceso que el pentester promedio, por lo que los otros tipos de pruebas de penetración se han desarrollado para disminuir el tiempo de compromiso aumentando el nivel de información proporcionada al probador.

Velocidad, eficiencia y cobertura

Las tres metodologías de prueba de penetración hacen equilibrios entre velocidad, eficiencia y cobertura. En general, la prueba de penetración de caja negra es el tipo más rápido de prueba de penetración. Sin embargo, la limitada información de que disponen los encargados de las pruebas aumenta la probabilidad de que se pasen por alto las vulnerabilidades y disminuye la eficiencia de la prueba, ya que los encargados de las pruebas no disponen de la información necesaria para orientar sus ataques a los objetivos de mayor valor o más vulnerables.

Las pruebas de caja gris suponen un ligero compromiso en cuanto a velocidad en comparación con las pruebas de caja negra a cambio de una mayor eficiencia y cobertura. El acceso a la documentación de diseño permite a los probadores centrar mejor sus esfuerzos y el acceso interno a la red aumenta la cobertura del análisis, especialmente en comparación con las pruebas de caja negra, en las que los probadores pueden no encontrar nunca una vulnerabilidad que les dé acceso dentro del perímetro de la red.

Las pruebas de caja blanca son la forma más lenta y completa de pentesting. La gran cantidad de datos de que disponen los pentesters requiere tiempo para su procesamiento; sin embargo, el alto nivel de acceso mejora la probabilidad de que se identifiquen y remedien las vulnerabilidades tanto internas como externas.

¿Qué Enfoque es el Adecuado para una Organización?

Enfoque de Pentesting para Empresas
Enfoque de Pentesting para Empresas

En conclusión, el propósito de una prueba de penetración es que el consultor de seguridad (pentesters) haga más segura la red, sistema o aplicación. Esto puede lograrse mediante el trabajo conjunto del consultor y el cliente para identificar el mejor enfoque que se adapte a las necesidades de la organización y, al mismo tiempo, obtener el máximo valor del compromiso. Los tres métodos de prueba se definen por el grado de tiempo, eficiencia y exposición que el cliente está dispuesto a conceder al consultor. La caja negra (Black-Box Testing) es el método de prueba más realista, pero puede requerir el sacrificio de tiempo y eficiencia en áreas de exposición a ataques menos importantes, lo que resulta en la probabilidad de que se pasen por alto vulnerabilidades internas de alto riesgo.

Las pruebas de penetración de la caja gris (Gray-Box Testing) son las más eficaces y permiten a los pentesters centrar su atención en las áreas de mayor valor dentro de la red, aumentando la cobertura y la eficiencia de los ataques. Las pruebas de caja blanca (White-Box Testing) son las más exhaustivas, pero requieren que se ponga a disposición del consultor una gran cantidad de datos y conocimientos para que puedan aumentar la probabilidad de que se identifiquen y mitiguen todas las vulnerabilidades internas y externas. Al final, todos los enfoques dependen de la forma en que la simulación del ataque beneficiaría más a la organización. Definir las preocupaciones que un cliente desea resolver es esencial para diseñar un enfoque personalizado que cumpla eficazmente los requisitos de seguridad necesarios.

Más artículos
Series TV hacking para hackers
Mejores series de TV relacionadas al Hacking y Tecnología