טכניקות גישה למבדקי חוסן
קיימים שלושה סוגים של גישות למבדקי חוסן: קופסא שחורה, אפורה ולבנה. כל סוג גישה מציע רמות שונות של חשיפת מידע ומתן הרשאות גישה לצוות הבדיקה.
- קופסא שחורה – צוות הבדיקה וצוות הפיתוח/IT לא ישתפו פעולה במהלך הבדיקה למעט קבלת גישה לסביבה הנבדקת.
- קופסא אפורה – צוות הבדיקה וצוות הפיתוח/IT יעבדו בשיתוף פעולה חלקי במהלך הבדיקה אודות הטכנולוגיות ומתן הרשאות גישה בסיסיות לצוות הבודק.
- קופסא לבנה – צוות הבדיקה וצוות הפיתוח/IT יעבדו בשיתוף פעולה מלא במהלך הבדיקה, אודות הטכנולוגיות וארכיטקטורת המערכת וקבלת הרשאות גישה למערכת
חשוב לזכור שלכל בדיקה יש את המתווה והתנאים הייחודים שלה ובהתאם לכך הדרישות המקדימות של צוותי הסייבר יכולים להשתנות.
הטבלה מטה מציגה דוגמאות מבוססות מודל קופסא שחורה, אפורה ולבנה בחתך סוגי הבדיקות השונות:
| סוג הבדיקה / שיטת ביצוע | קופסא שחורה | קופסא אפורה | קופסא לבנה |
| תשתיות מחשוב ורשת חיצוניות | קבלת כתובות IP חיצוניות ושמות דומיין בלבד | חשיפת מידע באופן חלקי על תשתיות הרשת והמחשוב החיצוניות | צוות הבדיקה וצוות ה-IT יעבדו בשיתוף פעולה מלא הכולל חשיפת מידע על ארכיטקטורת הרשת והשרתים |
| הנדסה חברתית | בניית תרחיש תקיפה המתבסס על מידע ציבורי אודות החברה | בניית תרחיש תקיפה המתבסס על מידע ציבורי אודות החברה ומידע פנימי חלקי | בניית תרחיש תקיפה מותאם המבוסס על מידע פנימי של החברה עם הרשאות גישה לרשת החברה |
| תשתיות מחשוב ורשת פנימיות | קבלת גישה לרשת הפנימית של החברה ללא ידע מקדים ו/או הרשאות גישה | קבלת גישה לרשת הפנימית של החברה עם הרשאות גישה חלקיות וחשיפת מידע חלקי על הסביבה | קבלת גישה לרשת הפנימית של החברה עם הרשאות גישה של משתמש בסיסי וחשיפה מלאה של מידע על הסביבה |
| אתרים וממשקי אינטרנט | קבלת כתובת URL בלבד | קבלת כתובת URL וחשיפת מידע חלקי אודות הטכנולוגיות והממשקים | קבלת כתובת URL, חשיפת מידע באופן מלא אודות הטכנולוגיות והממשקים וקבלת גישה של משתמש בסיסי במערכת |
| אפליקציות Android/iOS | קבלת כתובת IP צד שרת וקובץ התקנה של האפליקציה בגרסה האחרונה והעדכנית | חשיפת מידע חלקי אודות האפליקציה וקבלת גישה ממשתמש בסיסי בצד לקוח | קבלת גישה מלאה לקוד מקור של האפליקציה וגישת משתמשים צד לקוח וצד שרת בהרשאות בסיסיות |
| מערכות ענן ומקומיות (מערכות ארגוניות) | קבלת גישה חיצונית למערכת, ללא מידע מקדים אודות הטכנולוגיות | חשיפת מידע חלקי אודות המערכת וקבלת גישה ממשתמש בסיסי בצד לקוח | קבלת גישה מלאה לקוד מקור של המערכת וגישת משתמשים צד לקוח וצד שרת בהרשאות בסיסיות |
| מערכות ICS בסביבות OT | בניית תרחיש תקיפה של תוקף חיצוני ללא ידע מקדים ו/או הרשאות גישה לרשת | קבלת גישה לרשת OT עם חשיפת מידע חלקי וללא הרשאות גישה | קבלת גישה לרשת OT עם חשיפת מידע אודות הרשת, המערכות וקבלת גישה לרשת ה-OT |
| מכשירי IoT והתקנים | קבלת מכשיר פרוס בסביבת מעבדה ללא מידע מקדים אודות הטכנולוגיות ו/או הרשאות גישה | קבלת מכשיר פרוס בסביבת מעבדה עם חשיפת מידע חלקי אודות הטכנולוגיות וקבלת הרשאות משתמש בסיסיות | קבלת גישה לחומרה ותוכנה של המכשיר עם חשיפת מידע מלאה אודות הטכנולוגיות |
