EN

Black Box ve White Box Testi


Penetrasyon testi, firmaların Bilişim Sistemlerini oluşturan altyapı, donanım, yazılım ve uygulamalara öngörülen yöntemler kullanılarak yapılan saldırı sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanılarak sistemlere sızılmaya çalışılması, bu açıkların nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır. Pentest çalışmalarındaki asıl amaç söz konusu güvenlik açıklıklarının sisteme zarar vermeyecek şekilde istismar etmek kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacıyla yetkili kişiler tarafından ve yasal olarak gerçekleştirilen güvenlik testleridir.

Sızma testleri şirketin itibarına zarar verebilecek ve finansal kayba neden olabilecek siber olaylardan kaçınmanızı sağlar. Sızma testi BT kaynaklı riskleri azaltarak, sistemde oluşabilecek açıkları kapatır, sistemde yaşanabilecek kesintileri engeller. Bu şekilde firmanın imajı ve güvenilirliği korunmuş olur. Yasal zorunluluklara uyum sağlar özelikle son zamanlarda KVKK pentest zorunluğuyla firmalar pentest hizmetlerini almaya başlamıştır.

Penetrasyon Testi 3 farklı şekilde yapılabilir:

1- Kara Kutu (Black Box) Yaklaşımı

Bu yaklaşımda sızma testinin yapılacağı sistem ile ilgili bir bilgi önceden verilmez. Test edici bir bilgisayar korsanı gibi sisteme sızmaya çalışır. Hedef sisteme sızmak için sistemle ilgili bilgi toplanır; zafiyetler ve açıklar taranır. Harici veya son kullanıcı bakış açısından test etmeyi içerir. Test edicinin yanlışlıkla sisteme zarar verme ihtimali bulunmaktadır.

2- Beyaz Kutu (White Box) Yaklaşımı

Sızma testini yapacak ekibe firmada bulunan tüm sistemler hakkında bilgiler verilir. Black box yaklaşımına göre kuruma daha fayda sağlanır. Zafiyetleri bulmak kolaylaşır ve önlem alınması için geçen süre de azalmaktadır. Ekibin zarar verme riski çok azdır.

3- Gri Kutu (Gray Box) Yaklaşımı

Gray box testinde firma hakkında sınırlı bilgi verilerek sızma test gerçekleştirilir. Bu test ile firma içerisinde düşük ayrıcalıklara sahip kullanıcıların sistemlere ve firmaya verebileceği zararın test edilebilmesi hedeflenmektedir.

Temel Farklılıklar






İlgili İçerikler: