Bir bilgisayar sistemini,
ağı veya web uygulamasını bir saldırganın yararlanabileceği zayıf noktaları
bulmak için test etme işlemidir. Genelde pentest şeklinde kısaltılarak
kullanılır. Sızma testi güvenlik değerlendirmesinin en son ve en agresif şekli
olarak kabul edilir. Yaygın olarak kabul edilen “Black Box”, “White Box” ve
“Gray Box” olmak üzere 3 çeşit sızma testi yaklaşımı bulunmaktadır.
Black Box
Black Box yaklaşımında sızma testi uzmanı tarafından hedef kuruluş
tarafından kullanılan ağ altyapısı ve iç teknolojileri hakkında herhangi
bir bilgiye sahip olmadan gerçekleştirilmeye başlanılan test türüdür.
Genel itibariyle gerçek dünyada ki Black Hat Hackerların kullandığı
teknik ve yöntemler kullanılarak hedef organizasyon test aşamalarından
geçirilerek varsa güvenlik zafiyetleri ortaya çıkarılabilir ve
potansiyel olarak bu güvenlik zafiyetlerinden yararlanılmaya çalışılır.
Yapılan sızma testi sonucunda, sızma testi uzmanının tespit edeceği
güvenlik zafiyetlerini risk seviyelerine göre (düşük, orta veya yüksek)
sınıflandırması ve önem sırasına göre öncelik vermesi gerekir. Risk,
genel olarak güvenlik zafiyetinden kaynaklanan tehdide göre ölçülebilir.
İdeal sızma testinde, hedefin tehlikeye girmesine neden olabilecek tüm
saldırı vektörlerini belirler. Test süreci tamamlandıktan sonra, hedefin
gerçek dünyadaki güvenlik durumu ile ilgili tüm gerekli bilgileri
içeren bir rapor oluşturulur. Black Box testi, White Box testine göre
daha fazla zaman almaktadır.
White Box
White Box yaklaşımında sızma testi uzmanı tarafından hedef kuruluş
tarafından kullanılan ağ altyapısı ve iç teknolojileri hakkında bilgi
sahibi olarak test süreci gerçekleştirilir. Hedef organizasyon Black Box
yaklaşımına kıyasla hedefte bulunan bir güvenlik zafiyetinin daha kolay
bir şekilde tespiti sağlanarak kötü niyetli kişilerin dışarıdan içeriye
sızmasını zorlaştıracaktır. Ayrıca, White Box yaklaşımında güvenlik
zafiyetlerini bulmak ve bu zafiyetleri kullanmak için gereken zaman,
maliyet ve bilgi düzeyi, Black Box yaklaşımına göre oldukça düşüktür.
Gray Box
Gray Box yaklaşımı, White Box ve Black Box yaklaşımının bir karışımıdır.
Bu yaklaşımda sızma testi uzmanı test sürecini kısaltmak ve etkili bir
test gerçekleştirmek için yeteri kadar bilgi sahibi olur.
Yorum Gönder