กล่องดำ กล่องขาว กล่องเทา
การทดสอบระบบ security คืองานหลักของผมคับ วันนี้ผมจะมาอธิบายชนิดของการทำ Information Security Testing ( INFOSEC Testing) ให้ฟังคร่าวๆนะคับ
การทดสอบแบบ Black-box
การทดสอบแบบนี้จะใกล้เคียงกับพฤติกรรมของ Hacker มากที่สุดคับ เราเรียกมันว่ากล่องดำเพราะผู้ทดสอบระบบจะไม่ได้รับข้อมูลในระบบมาก่อนเลยคับ
Black-box testing จะเป็นการจำลองการโจมตีจาก hacker โดยให้ผู้ทดสอบระบบทดลองเจาะเข้ามาโดยที่ไม่ได้รับข้อมูลต่างในระบบจากผู้ดูแลระบบ (admin) มาก่อน เนื่องจากโดยปกติแล้ว hacker จากภายนอกมักจะต้องทำการค้นหาและรวบรวมข้อมูลของระบบเป้าหมายก่อนที่จะทำการลงมือ เราสามารถจะสรุปจุดแข็งและจุดอ่อนของการทำ Black-box testing ได้ดังนี้คับ
จุดแข็ง
– ผู้ทดสอบเจาะระบบ (Tester) และผู้ออกแบบระบบ (Admin) แยกการทำงานจากกันทำให้ผลที่ได้ออกมานั้นไม่เอนเอียงและเป็นจริง
– Tester ไม่รู้ข้อมูลในระบบมาก่อน ทำให้การทดสอบระบบอยู่ใน สภาพแวดล้อมเดียวกันกับ Hacker ภายนอก
– ผู้ทดสอบเจาะระบบ (Tester) และผู้ออกแบบระบบ (Admin) แยกการทำงานจากกันทำให้ผลที่ได้ออกมานั้นไม่เอนเอียงและเป็นจริง
– Tester ไม่รู้ข้อมูลในระบบมาก่อน ทำให้การทดสอบระบบอยู่ใน สภาพแวดล้อมเดียวกันกับ Hacker ภายนอก
จุดอ่อน
– ใช้เวลาในการทดสอบการเจาะระบบ นานกว่าแบบอื่น
– เนื่องจากใช้เวลานานทำให้ต้นทุนในการให้บริการแบบนี้สูงกว่าแบบอื่น
– การทดสอบมุ่งประเด็นไปที่ Hacker จากภายนอกเสียเป็นส่วนใหญ่ โดยในความเป็นจริงแล้วการโจมตีมักจะเกิดขึ้นจากภายใน
– ใช้เวลาในการทดสอบการเจาะระบบ นานกว่าแบบอื่น
– เนื่องจากใช้เวลานานทำให้ต้นทุนในการให้บริการแบบนี้สูงกว่าแบบอื่น
– การทดสอบมุ่งประเด็นไปที่ Hacker จากภายนอกเสียเป็นส่วนใหญ่ โดยในความเป็นจริงแล้วการโจมตีมักจะเกิดขึ้นจากภายใน
การทดสอบแบบ White-box
มีกล่องดำก็ต้องมีกล่องขาวคับ การทดสอบแบบนี้จะตรงกันข้ามกับ Black-box ตรงที่ Tester จะได้รับข้อมูลทั้งหมดในระบบจาก Admin ไม่ว่าจะเป็นข้อมูลทางด้าน Network, System หรือ Infrastructure ดั้งนั้น Tester สามารถจัดทำโครงสร้างและแผนงานต่างๆในการทดสอบระบบง่ายขึ้นคับ
ในขณะที่ Black-box testing จะใช้เวลาส่วนใหญ่ไปกับการเก็บข้อมูลของระบบทั้งหมด White-box testing จะใช้เวลาส่วนใหญ่ในการทดลองเจาะช่องโหว่นั่นเองคับ
การทดสอบแบบ Gray-box
ในการทดสอบแบบ Gray-box นั้น สถาบัน EC-Council จัดให้เป็นการทดสอบระบบจำลองการโจมตีแบบภายใน ดังนั้นจุดประสงค์ของการทดสอบแบบนี้คือการทดสอบในการป้องกันการโจมตีจากภายในองค์กร ไม่ว่าจะเป็นพนักงานหรือผู้ไม่ประสงค์ดีที่เดินก้าวเท้าเข้ามาในองค์กรเราได้คับ
โดยส่วนตัวของผมนะคับ ผมว่าการทดสอบแบบ White-box คือของโปรดของผมเลยล่ะคับเพราะสามารถรู้ข้อมูลทั้งในมุมมองจากข้างนอกและข้างใน นอกจากจะทำให้ผมประหยัดเวลาแล้ว ยังทำให้ผมเติมเต็มช่องโหว่ต่างๆได้อย่างทั่วถึงมากกว่าแบบอื่นๆด้วยคับ
