¿Las pruebas de penetración de blackbox tienen sentido si también sería posible una auditoría de la caja blanca?

6

Supongamos que soy responsable de una aplicación en mi empresa y decido contratar expertos en seguridad para realizar una auditoría de seguridad. Supongamos además que mi empresa es propietaria del código fuente de la aplicación y se me permite entregarlo a los expertos contratados.

¿Existen buenas razones para preferir una prueba de penetración de Blackbox en lugar de una revisión del código fuente de seguridad? En mi opinión, una auditoría de código fuente identifica vulnerabilidades críticas mucho más rápido y más eficiente que una prueba de penetración de Blackbox. ¿Por qué debería dejar que un experto en seguridad trabaje en mi aplicación en la oscuridad, cuando puedo proporcionarle información interna como la configuración del sistema y el código fuente para ayudarlo a dirigir mejor sus esfuerzos?

Para evitar confusiones: cuando hablo de una revisión del código fuente de seguridad, asumo que permitiré que los expertos en seguridad también realicen pruebas en la aplicación, para validar sus hallazgos y probar diferentes ataques. El objetivo de la auditoría es identificar las debilidades y mejorar la seguridad de la aplicación posteriormente.

    
pregunta Demento 07.10.2011 - 14:24
fuente

1 respuesta

4

La revisión del código fuente generalmente es más efectiva que la pentestización de caja negra. @Demento, articulaste las razones por las que bien. Y, aparte de estas justificaciones de primer principio, la revisión empírica del código fuente encuentra más vulnerabilidades que el pentesting de caja negra. Esto es especialmente cierto si la revisión del código fuente se combina con el análisis de riesgo arquitectónico (lo que Microsoft llama el modelado de amenazas).

La gran ventaja del pentesting de caja negra es que es considerablemente menos costoso y requiere menos experiencia. Esta es una de las razones por las que muchas personas utilizan el pentesting de la caja negra: es mucho más barato y aún atrapa una fracción significativa de las vulnerabilidades.

Personalmente, recomiendo que si usa la revisión del código fuente, también debe combinarlo con el pentesting de la caja negra. El pentesting de la caja negra costará solo una fracción del costo de la revisión del código fuente. Y los datos empíricos sugieren que la revisión de código fuente de pentesting + caja negra encuentra más errores de los que cualquiera de los dos encuentra. Por lo tanto, la utilidad marginal de pentesting de caja negra probablemente valga la pena, incluso si ya está haciendo una revisión del código fuente.

    
respondido por el D.W. 09.10.2011 - 00:03
fuente

Lea otras preguntas en las etiquetas