Es importante comprender que los métodos de evaluación de seguridad pueden usar métodos de caja negra o de caja blanca, y pueden basarse en métodos manuales o automatizados. Todas las 4 combinaciones son posibles (por ejemplo, herramientas automatizadas de pentesting de caja negra; pentesting manual de caja negra; escáneres de código fuente automatizados; revisión de código fuente manual). Además, es importante comprender la diferencia entre una revisión de la arquitectura de seguridad (en busca de problemas de arquitectura / diseño) y una evaluación de código (en busca de errores de implementación); Por lo general, los métodos de caja negra y automatizados se centran principalmente en este último. Voy a asumir que estás enfocado en una evaluación de código, buscando errores de implementación.
Con ese fondo, aquí hay una lista de verificación sugerida para ayudarlo a decidir qué método usar:
-
¿Tienes código fuente? Si no, use la prueba de caja negra. Los métodos de caja blanca requieren código fuente.
-
¿Alguna vez ha realizado algún tipo de prueba de seguridad, prueba de lápiz, auditoría de código de seguridad u otra evaluación de seguridad antes? Si no, use la prueba de caja negra. Es más barato. Comience con poco y trabaje hacia arriba.
-
¿Estás solo para cumplir con un mandato, o estás tratando de proteger tus propios sistemas? Si solo se trata de cumplimiento, elija la respuesta más barata que lo lleve a la casilla de verificación (normalmente, prueba de caja negra).
-
Si ha llegado hasta aquí, deberá realizar un análisis de costo-beneficio. Yo sugeriría comenzar con los métodos más baratos, úselos para mejorar el ciclo de vida del desarrollo de su software de seguridad. Luego comience gradualmente a los métodos manuales y de caja blanca, y evalúe el valor para su negocio.
En general, las pruebas de caja negra son más baratas que los métodos de caja blanca, pero las pruebas de caja negra encuentran menos errores . En general, las herramientas automatizadas son más baratas que los métodos manuales, se escalan mucho mejor a grandes bases de código, y son más adecuadas para análisis / revisiones periódicos, pero las herramientas automatizadas pueden encontrar menos errores que los métodos manuales .
Consulte también caja blanca vs. caja negra , ¿Las pruebas de penetración de blackbox tienen sentido si también sería posible una auditoría de Whitebox? , ¿Costos y plazos previstos para las pruebas de la caja negra? , ¿Cuánto cuesta una auditoría de seguridad? ? . No olvides probar la búsqueda antes de publicar una nueva pregunta, ¡ya hay muchas cosas buenas en este sitio!