Black box, grey box en white box pentesten: wat is het verschil en welke keuze past bij jouw situatie?

Black box, grey box en white box.

Vrijwel iedere organisatie die een pentest laat uitvoeren krijgt vroeg of laat met deze termen te maken. Toch blijkt in de praktijk dat veel organisaties niet precies weten wat de verschillen zijn. Dat is ook niet vreemd. De termen zeggen vooral iets over hoeveel informatie een pentester vooraf krijgt, terwijl de achterliggende vraag veel belangrijker is:

Wat wil je eigenlijk laten onderzoeken?

Een pentest die uitstekend past bij een publieke website kan namelijk een minder goede keuze zijn voor een klantportaal, webshop of API. Andersom geldt hetzelfde.

Toch zien we regelmatig dat organisaties automatisch voor een black box pentest kiezen, omdat dat het meest lijkt op een aanval van een onbekende hacker. Dat klinkt logisch, maar betekent niet automatisch dat je ook de meeste risico’s ontdekt.

In dit artikel leggen we uit wat black box, grey box en white box pentesten zijn, wanneer welke aanpak geschikt is en waarom de keuze voor de juiste testvorm vaak meer impact heeft dan organisaties vooraf denken.

Waarom de gekozen testvorm ertoe doet

Veel organisaties zien een pentest als een controle op de beveiliging van een systeem. Dat klopt, maar niet iedere pentest kijkt vanuit hetzelfde perspectief.

Een pentester zonder enige voorkennis kijkt anders naar een omgeving dan een pentester die beschikt over een gebruikersaccount. En een pentester die broncode en documentatie krijgt, zal weer andere scenario’s onderzoeken dan iemand die uitsluitend een URL ontvangt.

Daardoor kunnen twee pentesten op dezelfde applicatie tot verschillende bevindingen leiden.

Dat betekent niet dat de ene aanpak beter is dan de andere. Ze beantwoorden simpelweg een andere vraag.

Voordat je een pentest laat uitvoeren is het daarom verstandig om na te denken over het doel van de test.

Wil je weten wat een externe aanvaller vanaf internet kan ontdekken?

Wil je weten of gebruikers toegang kunnen krijgen tot gegevens die niet voor hen bedoeld zijn?

Of wil je juist een zo diep mogelijk technisch onderzoek laten uitvoeren?

Het antwoord op die vraag bepaalt vaak welke testvorm het beste aansluit.

Wat is een black box pentest?

Bij een black box pentest ontvangt de pentester vooraf geen informatie over de omgeving.

Geen gebruikersaccounts.

Geen technische documentatie.

Geen architectuurdiagrammen.

Geen uitleg over hoe de applicatie werkt.

De pentester krijgt bijvoorbeeld een domeinnaam, website of applicatie en moet vervolgens zelf ontdekken hoe de omgeving in elkaar zit.

Dat lijkt sterk op de situatie van een externe aanvaller die zonder voorkennis een doelwit onderzoekt.

Wat gebeurt er tijdens een black box pentest?

Voordat kwetsbaarheden onderzocht kunnen worden, moet eerst duidelijk worden wat er aanwezig is.

De pentester gaat bijvoorbeeld op zoek naar:

• subdomeinen;
• API-endpoints;
• loginpagina’s;
• gebruikte technologieën;
• publiek toegankelijke bestanden;
• beheeromgevingen;
• andere onderdelen die vanaf internet zichtbaar zijn.

Pas daarna begint het daadwerkelijke beveiligingsonderzoek.

Waar is een black box pentest sterk in?

Een black box pentest geeft vaak een goed beeld van het externe aanvalsoppervlak.

De test laat zien wat een onbekende aanvaller vanaf internet kan ontdekken en bereiken.

Daarnaast worden tijdens dit soort onderzoeken regelmatig zaken gevonden die organisaties zelf niet meer op het netvlies hebben, zoals:

• vergeten testomgevingen;
• oude subdomeinen;
• beheerinterfaces;
• verouderde systemen;
• onbedoeld openbaar toegankelijke onderdelen.

Waar zitten de beperkingen?

Het nadeel van een black box pentest is dat een deel van de beschikbare tijd opgaat aan het ontdekken van de omgeving.

Dat is niet per definitie verkeerd. Die verkenning maakt immers onderdeel uit van een realistische aanval.

Toch betekent het wel dat minder tijd beschikbaar blijft voor diepgaand onderzoek van functionaliteit achter een login.

Juist daar zitten tegenwoordig vaak de interessante risico’s.

Wat is een grey box pentest?

Bij een grey box pentest krijgt de pentester beperkte informatie vooraf.

Denk bijvoorbeeld aan:

• één of meerdere testaccounts;
• een overzicht van gebruikersrollen;
• beperkte documentatie;
• een beschrijving van belangrijke functionaliteiten.

De pentester beschikt dus niet over volledige inzage, maar hoeft ook niet volledig vanaf nul te beginnen.

Waarom kiezen veel organisaties voor grey box pentesten?

Wanneer organisaties voor het eerst over pentesten nadenken, leeft vaak het idee dat een black box pentest automatisch de beste keuze is.

De gedachte daarachter is begrijpelijk:

Een hacker heeft toch ook geen documentatie?

In werkelijkheid ligt dat vaak genuanceerder.

Veel aanvallen beginnen namelijk niet volledig blind.

Aanvallers maken gebruik van gelekte accounts, gestolen sessies, openbare documentatie of informatie die tijdens eerdere aanvallen is verzameld.

Daarnaast is voor veel organisaties niet alleen interessant wat een aanvaller vóór de login kan doen, maar juist ook wat er achter de login mogelijk is.

Waarom levert een grey box pentest vaak veel inzichten op?

Bij moderne webapplicaties, klantportalen en SaaS-platformen zitten veel risico’s niet op de homepage.

De interessante vragen zijn vaak:

• Kan een gebruiker gegevens van andere klanten bekijken?
• Zijn autorisaties goed ingericht?
• Kunnen rechten worden uitgebreid?
• Kunnen processen worden misbruikt op een manier die niet bedoeld is?
• Zijn API-koppelingen goed beveiligd?

Om dat soort vragen te kunnen beantwoorden is toegang tot de applicatie vaak noodzakelijk.

Doordat minder tijd verloren gaat aan verkenning, blijft meer tijd over voor het onderzoeken van dit soort vraagstukken.

Dat is ook de reden waarom grey box pentesten in de praktijk vaak worden toegepast bij webapplicaties en API’s.

Wat is een white box pentest?

Bij een white box pentest ontvangt de pentester uitgebreide informatie over de omgeving.

Dat kan bestaan uit:

• broncode;
• technische documentatie;
• architectuurdiagrammen;
• configuraties;
• API-documentatie;
• databasediagrammen.

De pentester weet daardoor vooraf al veel over de werking van het systeem.

Wanneer wordt een white box pentest gebruikt?

White box pentesten worden vaak ingezet wanneer maximale diepgang gewenst is.

Bijvoorbeeld:

• voor bedrijfskritische applicaties;
• voorafgaand aan een belangrijke release;
• tijdens softwareontwikkeling;
• wanneer specifieke onderdelen diepgaand onderzocht moeten worden.

Omdat de pentester precies weet hoe een systeem werkt, kunnen bepaalde kwetsbaarheden sneller worden gevonden dan bij een black box of grey box aanpak.

Betekent meer informatie automatisch een betere pentest?

Niet altijd.

Dat is een van de meest voorkomende misverstanden.

Een white box pentest geeft meer technische diepgang, maar simuleert minder goed het perspectief van een externe aanvaller.

Daarom beantwoorden black box, grey box en white box pentesten ieder een andere vraag.

Welke aanpak kiezen organisaties het vaakst verkeerd?

Wanneer organisaties voor het eerst een pentest laten uitvoeren, wordt black box vaak gezien als de meest logische keuze.

Dat komt doordat deze aanpak het meest lijkt op een aanval van buitenaf.

Toch zien we in de praktijk regelmatig dat een grey box pentest meer inzichten oplevert.

Niet omdat grey box beter is.

Maar omdat veel moderne risico’s zich bevinden achter een login.

Denk aan:

• autorisatieproblemen;
• privilege escalation;
• fouten in businesslogica;
• kwetsbaarheden in API’s;
• onjuiste scheiding tussen klanten of gebruikers.

Wanneer de pentester eerst uren moet besteden aan het ontdekken van functionaliteit die vooraf al bekend was, blijft minder tijd over voor het onderzoeken van dit soort risico’s.

Daarom is de vraag:

Welke testvorm is het meest realistisch?

vaak minder interessant dan:

Welke testvorm geeft het beste antwoord op de risico’s die wij willen laten onderzoeken?

Welke aanpak past meestal het beste?

De juiste keuze hangt af van de omgeving en de onderzoeksvraag.

Informatieve websites

Bij eenvoudige websites zonder gebruikersaccounts ligt een black box aanpak vaak voor de hand.

De belangrijkste vraag is hier meestal wat een externe bezoeker vanaf internet kan zien en misbruiken.

Webshops, klantportalen en SaaS-platformen

Zodra gebruikers kunnen inloggen, wordt het interessant om ook achter de login te testen.

Veel risico’s bevinden zich in autorisaties, gebruikersrollen en afgeschermde functionaliteit.

Daarom wordt hier vaak gekozen voor een grey box pentest.

API’s

Bij API’s zien we hetzelfde patroon.

Veel functionaliteit is alleen toegankelijk met een token of account. Zonder toegang blijft een groot deel van potentiële kwetsbaarheden buiten beeld.

Daarom worden API-pentesten vaak uitgevoerd met beperkte toegang of testaccounts.

Cloudomgevingen

Bij cloudomgevingen hangt de keuze sterk af van het doel van de test.

Soms is een externe benadering wenselijk, terwijl in andere situaties juist meer technische informatie en toegang nodig is om configuraties, rechtenstructuren en cloudcomponenten goed te kunnen beoordelen.

Welke keuze past bij jouw situatie?

De termen black box, grey box en white box pentesten zeggen uiteindelijk vooral iets over hoeveel informatie een pentester vooraf krijgt.

De belangrijkere vraag is welke scenario’s je wilt laten onderzoeken.

Voor een publieke website kan een black box aanpak een logische keuze zijn. Voor een klantportaal, webshop, SaaS-platform of API levert een grey box pentest vaak meer inzichten op. En wanneer maximale technische diepgang gewenst is, kan een white box onderzoek passend zijn.

Twijfel je welke aanpak het beste aansluit bij jouw omgeving? Securitytest.nl helpt je graag bij het bepalen van een passende scope en testvorm.