Sızma Testi Türleri ve Sızma Testine Karar Verme

          Merhaba değerli okurum,bu yazımda Sızma Testi Türleri nelerdir,bir penetrasyon (sızma testi) yaptığımız zaman hangi sızma testlerini uygulamalıyız bu konular hakkında bilgi vermeye çalışacağım.Keyifli okumalar dilerim...

Sızma Testi Türleri 3 Başlık altında toplaya biliriz. Bunlar şunlardır;
  1. Kara Kutu Sızma Testi
  2. Beyaz Kutu Sızma Testi
  3. Gri Kutu Sızma Testi
Her bir sızma testi farklı alanlara hitap etmektedir. Farklı kullanım alanları vardır,şimdi bunları tek tek açıklayalım.

1.Kara Kutu Sızma Testi (Black Box Testing)

  • Kara kutu sızma testi,gerçek gerçek bir saldırıyı taklit edebilen bir sızma testi türüdür diyebiliriz.
  • Kara kutu testinde,testi gerçekleştiren sistem veya uzmanlar,bilişim sisteminin mimarisi,yazılım veya donanım hakkında hiç bir şekilde bilgi sahibi olmazlar.
  • Sızma testini yapacağı kurum kendisine yok denecek kadar bilgi vermektedir.
  • Kara kutu sızma testi,bir saldırgan(black hat hacker) bilişim sistemine nasıl saldırıyorsa,testi yapacak kişide o şekilde planlanır ve gerçekleştirilir.
  • Kara kutu sızma testi,bilişim sisteminde bulunan bütün olası açıklıklarını veya zafiyetlerini belirlemek için,hedefleri uygun şekilde tanımlayarak,bütün potansiyel saldırı mekanizmalarını,sistemi tehlikeye atmak için kullanır.
  • Kara kutu sızma testi çok zaman alıcı ve pahalı bir test türüdür.
  • Bu test uygulandığı zaman sistemlerde sistem aksaması ve kalıcı hasarın meydana gelmesi mümkündür. Dolasıyla sızma testini yapacak uzmanlar hasar oluşmaması için çok dikkatli olmaları gereklidir.
  • Kara kutu sızma testi sonucunda raporlanan bulgular kurumlar veya müşteriler için kritik öneme sahiptir.


2.Beyaz Kutu Sızma Testi (White Box Testing)

  • Beyaz kutu test türünde ise,sızma testini yapacak güvenlik uzmanı,bilişim sisteminin uygulama,donanım ve yazılım gibi bütün varlıklarını tespit ederek envanterini çıkarır.
  • Envanterde bilgisayar ağ topolojisi,işletim sistemi türleri,sistem yama seviyeleri ve uygulamaların kaynak kodları da bulunur.
  • Beyaz kutu testinde,sızma testini yapana uzman,gerçek bir saldırı ile aynı şekilde saldırmayla ilgilenmez.
  • Beyaz kutu testini yapan uzmanın amacı,testi yapılması planlanan sistemin güvenlik denetimi ile ilgilenir.
  • Beyaz kutu test türü genellikle yeni geliştirilen uygulamalar için veya bilgisayar ağına yeni eklenen cihazlardan kaynaklanan güvenlik zafiyetlerini tespit etmek için kullanılır.
  • Testi yapan güvenlik uzmanı,teste başlamadan ve gerçek tehditlerine maruz kalmadan önce gelişmekte olan sistemlerdeki güvenlik zafiyetlerini bulmaya çalışır.
  • Bu testler Gelişmiş Güvenlik Programlarında,Sistem Geliştirme Yaşam Döngüsü(System Development Life Cycle-SDLC) parçası olarak yürütülür.
  • Sonuç olarak,bu testler yeni bir uygulama devreye alınmadan güvenlik zafiyetlerini tespit etmek ve bunlara çözüm bulmak için uygun maliyetli bir sızma test türüdür.


3.Gri Kutu Sızma Testi (Gray Box Testing)

  • Gri kutu sızma testi,kara ve beyaz kutu testlerinin,karışımı olarak değerlendirilebilir.
  • Gri kutu test türünde,sızma testini gerçekleştiren sistem veya güvenlik uzmanları,değerlendirilme istenen hedef sistem,uygulama,donanım veya yazılım hakkında bazı bilgilere sahip olurlar.
  • Sistem veya güvenlik uzmana verilen bilgiler,işletim sistemi sürümleri veya bilgisayar ağ mimarisi ile ilgili sınırlı olabilir.
  • Kara kutu sızma testinde olduğu gibi bilişim sistemi ile ilgili hiçbir şey bilmeden veya beyaz kutu gibi bilişim sistemi ile ilgili hiçbir şey bilmeden veya Beyaz kutu sızma testinde olduğu gibi bilişim sistem ile ilgili olarak her şeyi bildiği varsayılmaz.
  • Gri kutu sızma testleri,kurumlar tarafından talep edilen,belirli bir güvenlik zafiyetini test etmek için kullanılır.
  • Yaptığı işlere örnek olarak, bilişim ağında, eposta sunucusu katmanını test etmek için sızma testi gerçekleştirilebilir.
  • Sızma testini gerçekleştiren güvenlik uzmanı,testi yapılacak sınırlı alanın IP adres katmanları ve bağlı olan diğer sistemlerin özel bilgilerine sahip olabilirler.
  • Gri Kutu sızma testinde, bilişim sistemi bileşenlerinin güvenlik zafiyet denetimleri çevrim içi olarak gerçekleştirilir. 

Sızma Testine Karar Verme

Buraya kadar sızma testinin çeşitlerinden bahsettik.Şimdi ise bu sızma testi türlerinden hangisini kullanacağız bunun kararını nasıl vereceğiz ondan bahsedeceğim.

Bir bilişim sistemine hangi sızma testinin uygulanacağına,sızma testini yapan güvenlik uzmanı ve kurumunun ihtiyaçları doğrultusunda kurumun kendisi karar verir.Örneğin;

Eğer sistemleri test edilecek kurum yeni bir sistemi geliştirme aşamasından üretim aşamasına taşıyor ve güvenlik ayarlarının doğru bir şekilde yapıldığından emin olmak istiyorsa,genellikle beyaz kutu testine karar verilir.

Öte yandan,gelişmiş bir güvenlik stratejisi olan ve bütün güvenlik sistemini gerçek saldırılar açısından test ettirmek isteyen bir kurum içi ise kara kutu sızma testi kullanılacaktır.

Ayrıca sızma testinin yapılacağı hedef kurumun sızma test tecrübesi dikkate alınmalıdır.Sızma testleri için yeni olan kurumlar,bilişim sistemlerinin zarar göreceğinin olumsuz etkileneceği düşünülerek,sızma testinin gerçekleştirilmesinde tereddütler yaşarlar.Genelde,beyaz kutu sızma testi,kurumların bu tereddütlerinin ortadan kaldırılması bakımından önemli bir çözümdür.

Sağlıklı ve Güvenli Günler Dilerim...

Yorum Gönderme

0 Yorumlar