Sızma Testi Yaklaşımları

Bir bilgisayar sistemini, ağı veya web uygulamasını bir saldırganın yararlanabileceği zayıf noktaları bulmak için test etme işlemidir. Genelde pentest şeklinde kısaltılarak kullanılır. Sızma testi güvenlik değerlendirmesinin en son ve en agresif şekli olarak kabul edilir. Yaygın olarak kabul edilen “Black Box”, “White Box” ve “Gray Box” olmak üzere 3 çeşit sızma testi yaklaşımı bulunmaktadır.



Black Box 

Black Box yaklaşımında sızma testi uzmanı tarafından hedef kuruluş tarafından kullanılan ağ altyapısı ve iç teknolojileri hakkında herhangi bir bilgiye sahip olmadan gerçekleştirilmeye başlanılan test türüdür. Genel itibariyle gerçek dünyada ki Black Hat Hackerların kullandığı teknik ve yöntemler kullanılarak hedef organizasyon test aşamalarından geçirilerek varsa güvenlik zafiyetleri ortaya çıkarılabilir ve potansiyel olarak bu güvenlik zafiyetlerinden yararlanılmaya çalışılır. Yapılan sızma testi sonucunda, sızma testi uzmanının tespit edeceği güvenlik zafiyetlerini risk seviyelerine göre (düşük, orta veya yüksek) sınıflandırması ve önem sırasına göre öncelik vermesi gerekir. Risk, genel olarak güvenlik zafiyetinden kaynaklanan tehdide göre ölçülebilir. İdeal sızma testinde, hedefin tehlikeye girmesine neden olabilecek tüm saldırı vektörlerini belirler. Test süreci tamamlandıktan sonra, hedefin gerçek dünyadaki güvenlik durumu ile ilgili tüm gerekli bilgileri içeren bir rapor oluşturulur. Black Box testi, White Box testine göre daha fazla zaman almaktadır. 

White Box 

White Box yaklaşımında sızma testi uzmanı tarafından hedef kuruluş tarafından kullanılan ağ altyapısı ve iç teknolojileri hakkında bilgi sahibi olarak test süreci gerçekleştirilir. Hedef organizasyon Black Box yaklaşımına kıyasla hedefte bulunan bir güvenlik zafiyetinin daha kolay bir şekilde tespiti sağlanarak kötü niyetli kişilerin dışarıdan içeriye sızmasını zorlaştıracaktır. Ayrıca, White Box yaklaşımında güvenlik zafiyetlerini bulmak ve bu zafiyetleri kullanmak için gereken zaman, maliyet ve bilgi düzeyi, Black Box yaklaşımına göre oldukça düşüktür. 

Gray Box 

Gray Box yaklaşımı, White Box ve Black Box yaklaşımının bir karışımıdır. Bu yaklaşımda sızma testi uzmanı test sürecini kısaltmak ve etkili bir test gerçekleştirmek için yeteri kadar bilgi sahibi olur.

Hadi durma sende yorum yap

Daha yeni Daha eski

Comments