Teknolojinin gelişmesiyle beraber siber dünyadaki trafik de artmıştır. Kuruluşlar, yeniçağa ayak uydurmak için dijitalleşmeye doğru giderken yeni tip risklerle karşı karşıya kalmaktadır. Bu risklerin başında siber saldırılar gelmektedir. Kuruluşların siber güvenlik alanında ortaya çıkabilecek güvenlik açıkları sebebiyle birçok veri kaybı ortaya çıkabilmektedir. Siber suçlular, kuruluşlardan elde ettikleri veriler yüzünden şirketlere endişe verici oranlarda, milyarlarca dolar değerinde zarar veriyor. Bu sebeple kuruluşların güvenlik sistemlerini iyi kurması ve bunları düzenli olarak belirli kontrollere tabii tutması gerekmektedir. Güvenlik duvarlarındaki açıkların belirlenip düzeltilmesinde Sızma (Penetrasyon) Testi uygulanır. Bu “etik hackleme” biçimi, bir sistem veya ağın güvenlik açıklarını ve zayıflıklarını, onu simüle edilmiş bir gerçek dünya saldırısına maruz bırakarak tanımlar. Sızma testleri yapmak, şirketlerin sistemlerinin savunmalarının ne kadar güçlü olduğu hakkında bir fikir edinmelerine yardımcı olur.
Güvenlik duvarlarındaki açıkları belirlemeye ve ortadan kaldırmaya yardımcı olmak için düzenli sızma testi şarttır. Fakat sızma testleri amaçlar, koşullar ve hedeflere bağlı olarak farklılıklar gösterir. Sızma testinde temel olarak 3 teknik vardır diyebiliriz.
- Kara kutu Sızma Testi (Black Box Pentest):
Deneme Yanılma yaklaşımı olarak da bilinen bu sızma testi tekniğinde amaç, bilgisayar korsanlarının hedef şirketin sistem yapısı hakkında hiçbir fikri olmadığı ve hedef şirkete yüksek yoğunluklu bir saldırı başlatmasıdır. Bu test yapısında test yapan kişinin sisteme girebilmesi için kendi yollarını bulması beklenmektedir. Bu durumda test yapan kişi, ilk erişim ve yürütmeden yararlanmaya kadar ayrıcalıksız bir saldırganın yaklaşımını izler. Bu senaryo, içeriden bilgisi olmayan bir düşmanın bir organizasyonu nasıl hedef alıp tehlikeye atacağını gösteren en özgün senaryo olarak görülebilir. Fakat bu test tipinde ekip ayrıntılı bir sistem keşfi yapmalıdır ve bu nedenle bu tür bir test önemli ölçüde zaman gerektirir. Genelde 6 hafta gibi bir süre biçilen bu testte projenin kapsamına ve titizliğine bağlı olarak daha da uzun bir zaman aralığından bahsedilebilir. Bunun yanında diğer tekniklere göre daha maliyetlidir.
- Beyaz Kutu Sızma Testi (White Box Pentest):
Beyaz kutu sızma testinde test yapacak kişiye IP adreslerinden ağ yapısına, kullanıcı protokollerinden sistem yapılarına kadar yazılım mimarisi ve kaynak kodları hakkında her bilgi verilir. Bu testte sisteme zaten erişim kazanmış bir saldırganın veya firma çalışanının olası saldırıları taklit edilir. Bu test türü kara kutu testine göre daha az maliyetli ve daha kısa bir zaman diliminde gerçekleştirilir. Bunun yanında kara kutu testine göre daha kapsamlıdır. Beyaz kutu sızma testi, mümkün olduğu kadar çok saldırı vektörü kullanarak belirli bir sisteme yönelik hedefli bir saldırıyı simüle etmek için kullanışlıdır.
Test ekibi, yetkili bir kullanıcının sahip olacağı bütün ayrıcalıklara sahip bir donanımda başlar. Daha sonrasında sistem düzeyinde güvenlik ve yapılandırma zayıflıklarından yararlanmaya çalışırlar. Bu testte asıl amaç, sistemlerin derinlemesine denetimini gerçekleştirmek ve şu 2 maddeyi cevaplamaktır:
- Bir saldırgan belirli düzeyde ayrıcalık ile sistemde ne kadar derine inebilir?
- Olası bir saldırı sisteme ne kadar hasar verebilir?
- Gri Kutu Sızma Testi (Grey Box Pentest):
Bu test türü beyaz kutu sızma testi ve kara kutu sızma testi arasında bulunur. Test yapacak kişi sistem hakkında kısmi bilgilere sahiptir. Genellikle oturum açma kimlik bilgilerini alır. Gri kutu sızma testi, ayrıcalıklı bir kullanıcının kazanabileceği erişim düzeyini ve neden olabilecekleri olası hasarı anlamaya yardımcı olmak için yararlıdır. Bu test yöntemi ile beraber derinlik ve verimlilik arasında bir denge kurulmuş olur ve içeriden gelen bir tehdidi veya ağ çevresini ihlal eden bir saldırıyı simüle etmek için kullanılabilir.
Gri kutu sızma testi, ekibin başlangıçtan itibaren en büyük risk ve değere sahip hedeflere odaklanmasını sağlar. Bu tür testler, ağa uzun süreli erişimi olan bir saldırganı taklit etmek için idealdir. Bunun yanında bu test diğer iki yöntemin ara noktası olarak görüldüğünden zaman ve kaynak yönetiminde en ideal test tekniği olduğu söylenir.