Sızma testi, şirketinizin itibarına zarar verebilecek ve önemli miktarda finansal kayba neden olabilecek siber güvenlikle ilgili olaylardan kaçınmanıza olanak sağlayacaktır. Günümüzün yüksek teknoloji dünyasında, hiç kimse siber suçtan gerçekten yalıtılmış değildir. Büyük bir şirket, hükümet kurumu, kar amacı gütmeyen kuruluş, başlangıç ​​seviyesinde birey olun; tüm herkes potansiyel bir hedeftir. Saldırı araçları daha sofistike hale geldikçe ve gün geçtikçe daha kolay hale geldikçe, günlük saldırıların sayısı artmaya devam ediyor. Yani bilgisayar korsanlarının seninle ilgilenmediğini düşünüyorsun çünkü çok küçük bir hedefsin? Tekrar düşün. İnternete bağlıysanız sizde her birey gibi risk altındasınız!
Sızma testlerini gerçekleştirmenin birkaç yolu vardır. Kurumunuz için sızma testi yaptırmayı düşünüyorsanız, muhtemelen Kara, beyaz veya gri kutu testlerinden birini seçersiniz. Her yöntemin kendine göre yararı vardır, bu nedenle hangi yolun kuruluşunuz için uygun olduğuna karar vermek için bu testler arasındaki farkı anlamak faydalı olacaktır. Her bir test türü arasındaki en büyük fark, test edenler için sağlanan detay bilgi miktarıdır.

1) Black Box (Kara Kutu) Sızma Testi
Bir kara kutu testinde, sızma ekibi, hedef sistem hakkında hiçbir iç bilgisi olmadan, bir hacker rolündedir. Kara kutu olarak da adlandırılan sızma testi, sistemi ilk kez keşfeden bir bilgisayar korsanı gibi herhangi bir bilgiye sahip olmadan bir sisteme (kutuya) girmeyi başarmaktır. Sızma testi ekibi ortam hakkında hiçbir bilgiye sahip değildir ve testlerini kör bir şekilde gerçekleştirir. Hedefi, dışarıdan bir saldırganın yapabildiği gibi hedef sisteme nasıl girileceğini bulmaktır. Sızma ekibine herhangi bir bilgi, herhangi bir mimari şema veya kaynak kodu verilmez. Kara kutu sızma testi, ağın dışından gelebilecek bir sistemdeki güvenlik açıklarını belirler.
Bu, kara kutu sızma testinin şu anda çalışan programların ve hedef ağ içindeki sistemlerin dinamik analizine dayandığı anlamına gelir. Kara kutu sızma testi ekibi, otomatik tarama araçları ve manuel sızma testi için metodolojilere aşina olmalıdır. Kara kutu sızma testi ekibinin ayrıca, gözlemlerine dayanarak kendi hedef ağlarına ait kendi haritalarını oluşturma yeteneklerine sahip olmaları gerekir; sızma testi ekibine sağlanan sınırlı bilgi kara kutu sızma testlerini en hızlı şekilde olmasını sağlar, çünkü bu süresi büyük ölçüde sızma testi ekibinin hedefin dışa dönük hizmetlerinde güvenlik açıklarını bulma ve kullanma yeteneğine bağlıdır. Bu yaklaşımın en büyük dezavantajı, eğer sızma testi ekibi dışarıdan bir zafiyet bulamaz ise, iç hizmetlerin güvenlik açıklarını keşfetmemiş ve dolayısıyla bu açıkların yamanmamış kalmasıdır.
2) Grey Box (Gri Kutu) Sızma Testi
Bir Gri kutu testinde, bilgi sistemine kuruluş ve sistemi hakkında sınırlı miktarda bilgi ile girmeye çalışmaktan ibarettir. Bu durum, kuruluş içindeki kullanıcı hesabı ile sistemin bazı hatalarına içeriden erişebilecek bir şirketin bir ortak çalışanı olarak veya bir siteye erişmeyi başarabilecek bir bilgisayar korsanının başlangıç ​​noktası olarak konumlandırarak sistemin hatalarını kontrol etmeyi mümkün kılar.
Kara kutu testinden bir sonraki adım gri kutu testidir. Bir kara kutu sızma testi ekibi bir sistemi dışarıdan bir bakış açısıyla inceliyorsa, bir gri kutu sızma test ekibi potansiyel olarak bir sistemde yükseltilmiş ayrıcalıklara sahip bir kullanıcının erişim ve bilgi seviyelerine sahiptir. Gri kutu sızma testi ekibi tipik olarak, potansiyel olarak tasarım ve mimari dokümantasyonu ve ağın içindeki bir hesap da dahil olmak üzere bir ağın dahili bilgisine sahiptir.
Gri kutu testindeki amaç, ağın güvenliğinin kara kutu değerlendirmesinden daha odaklı ve verimli bir şekilde değerlendirilmesini sağlamaktır. Bir ağ için tasarım dokümantasyonunu kullanarak, sızma testi ekibi bu bilgileri kendi başlarına belirlemek için zaman harcamak yerine, değerlendirme çabalarını başından itibaren en yüksek risk ve değere sahip sistemlere odaklayabilir. Sistemdeki dahili bir hesap ayrıca, güvenliği sıkılaştırılmış çevre içindeki güvenliğin test edilmesini sağlar ve ağa daha uzun süreli erişimi olan bir saldırganı simüle eder.
2) White Box (Beyaz Kutu) Sızma Testi

Beyaz kutu sızma testinin beklediğiniz gibi yaklaşımı basittir: sızma testi ekibi sistemle ilgili tüm bilgilere erişebilir. Sızma test ekibi bu durumda, maksimum faydalı bilgi elde etmek için kuruluşun teknik ekipleriyle işbirliği içinde çalışır. Mümkün olduğu kadar fazla güvenlik açığı tespit etmek için ihtiyacı olan her şeye erişebilir seviyededir.

Beyaz kutu testi, açık kutu, yardımcı ve mantık güdümlü test dahil olmak üzere birçok farklı isimle yapılır. Kara kutu testinden spektrumun diğer ucuna düşer ve sızma testi ekibine kaynak kodlara, mimari belgelere vb. tam erişim sağlanır. Beyaz kutu testindeki en büyük zorluk potansiyel zayıflık noktalarını tespit etmek için mevcut olan büyük miktarda veriyi elemek ve belirlenen süre içerisinde en fazla zaman alan sızma testlerini hızlı bir şekilde yapmaktır. Kara kutu ve gri kutu testlerinden farklı olarak, beyaz kutu penetrasyon test ekipleri statik kod analizi yapabilir ve bu tür test için önemli olan kaynak kod analiz araçları, hata ayıklayıcılar ve benzeri araçlar hakkında bilgi sahibi olunması gerekmektedir. Bununla birlikte, dinamik analiz araçları ve teknikleri beyaz kutu test ekipleri için de önemlidir, çünkü statik analiz hedef sistemlerin yanlış yapılandırılmasıyla ortaya çıkan zayıf noktaları kaçırabilir.
Beyaz kutu sızma testi, hem iç hem de dış güvenlik açıklarının kapsamlı bir değerlendirmesini sağlar ve hesaplama testi için en iyi seçimdir. Beyaz kutu sızma testi ekipleri ve geliştiriciler arasındaki yakın ilişki, yüksek düzeyde sistem bilgisi sağlar ancak bilgisayar korsanları için mevcut olmayan bilgilere dayanarak çalıştıkları için sızma test ekibinin davranışlarını etkileyebilir.

 

Kuruluşunuz için hangi sızma testi yaklaşımı doğrudur ?

Sonuç olarak, sızma testinin amacı güvenlik danışmanının ağınızı, sisteminizi veya uygulamanızı daha güvenli hale getirmesidir. Bu, kuruluş ve kuruluşun ihtiyaçlarına en uygun değeri elde ederken en iyi yaklaşımı belirlemek için birlikte çalışan danışman ve müşteri tarafından gerçekleştirilebilir. Her üç test yöntemi de müşterinin danışmana vermeye hazır olduğu zaman, verimlilik ve maruz kalma derecesi ile tanımlanır.
Kara kutu en gerçekçi test yöntemidir, ancak daha az önemli saldırıya maruz kalma alanlarında yüksek riskli iç güvenlik açıklarının göz ardı edilme olasılığına yol açan fedakarlıkta zaman ve verimlilik gerektirebilir.
Gri kutu sızma testi en etkili olanıdır ve danışmanların dikkatlerini ağ içinde daha değerli alanlara odaklayarak saldırı kapsamını ve verimliliğini arttırır.
Beyaz kutu testi en kapsamlı olanıdır, ancak danışman için kullanılabilir olması için büyük miktarda veri ve bilgi gerektirir, böylece tüm iç ve dış güvenlik açıklarının tespit edilip azaltılması olasılığını artırabilirler.
Sonunda, tüm yaklaşımlar saldırı simülasyonunun organizasyona en fazla nasıl fayda sağlayacağına bağlıdır. Bir müşterinin çözmek istediği endişeleri tanımlamak, gerekli güvenlik gereksinimlerini etkili bir şekilde karşılayacak özelleştirilmiş bir yaklaşım tasarlamak için esastır.