En este apartado se exponen las clásicas divisiones que históricamente se han ido realizando sobre los tipos de auditoría. Realmente son la base de un proceso de Ethical Hacking pero no son las únicas pruebas que se realizan. Más adelante se puede ver los agregados al proceso, en el que se especifican pruebas muy interesantes, novedosas en algunos casos y que conformar un proceso de Ethical Hacking completo.
Hay que tener en cuenta que el objetivo de una auditoría de seguridad es el de generar un status de seguridad. Lo mismo ocurre en un proceso de Ethical Hacking, ya que este proceso puede albergar distintos tipos de auditoría de seguridad, como se verá a continuación:
-Auditoría de caja negra.
Auditoría de caja blanca.
-Auditoría de caja gris.
La auditoria de caja negra permite al auditor tomar el rol de un hacker, el cual no conoce ninguna característica del interior de la empresa o la organización. En otras palabras, la visión global del sistema es ciega, ya que no se conoce como se organiza interiormente los sistemas y redes. El auditor se encargará de recopilar todo tipo de información sobre el objetivo, esta información es pública y después irá tomando contacto con los sistemas y servicios públicos de la empresa objeto.
Estas dos fases se suelen denominar footprinting a la recopilación de información pública sobre el objetivo y fingerprinting a la fase de enumeración e interacción con los sistemas y servicios públicos descubiertos. Esta interacción permitirá al hacker estudiar vías de ataque y poder tener una pequeña idea del ente al que se enfrenta.
La auditoría de caja blanca se enfoca en el rol de un usuario interno de la organización o empresa, el cual dispone de acceso a los sistemas internos o a la totalidad o parte de los datos críticos de ésta En este tipo de auditorías se revisan configuraciones de sistemas, políticas, servicios y redes, código de aplicaciones, con el fin de encontrar puntos críticos que permitan a los usuarios con cierto grado de privilegios obtener acceso. El entorno empresarial puede ser un esquema complejo y foco de vulnerabilidades s que aunque no se ven, existen. Es importante la realización de este tipo de auditorías para comprobar lo que un usuario con ciertos privilegios puede llegar a lograr.
Existen ciertas herramientas que pueden aportar una visión completa de los sistemas, y que permiten automatizar la auditoría. Hay que recordar que en un proceso de Ethical Hacking lo ideal es automatizar lo posible, sin perder el control sobre lo que se está realizando y realizar manualmente lo que se considere importante detectar, y posteriormente, explotar
La auditoria de caja gris permite al atacante tomar el rol de un cliente, un empleado con pocos o ningún privilegio, un empleado de una ubicación concreta, por ejemplo un empleado de finanzas. El auditor dispone de una visión "a medias" de los sistemas, se encuentra dentro de la empresa pero no dispone del mismo nivel de acceso que en la caja blanca. Es por lo tanto un empleado descontento que intenta acceder a información a la que no tiene acceso, simulando el ataque interno a la empresa. Un ejemplo sencillo sería simular un empleado del área de desarrollo que quiere acceder a información almacenada en un servidor, a la cual solo tiene acceso un administrador del dominio. El empleado intentará conocer la infraestructura interna, aunque puede conocer algo de ella, e intentará elevar privilegios robundo identidades de otros compañeros hasta lograr su objetivo.
Como se ha mencionado anteriormente estos tres tipos de auditoria se encuentran bien diferenciados orientados o guiados por el rol que se toma en cada caso. Este tipo de auditorías disponen de distintos tipos de pruebas que se irán tratando a lo largo del libro.
