Büyük ve küçük işletmeler, finansal kayıpları önlemek, güvenlik düzenlemelerine uymak ve müşterilerin gözünde güvenlik bilincine sahip bir imajı sürdürmek gibi avantajlardan yararlanmak için penetrasyon testi sağlayıcılarına yılda bir veya üç ayda bir önemli meblağlar öderler.
Bilgi güvenliği sağlayıcıları genellikle birkaç tür sızma testi sunar: kara kutu, beyaz kutu ve gri kutu. Bunlar ne anlama gelmektedir, avantajları ve dezavantajları nelerdir? Hadi daha yakından bakalım.
Penetrasyon Testi Türleri
Black Box Testi
Genel Bakış: Penetrasyon testi mühendisleri
etik bilgisayar korsanları veya sızma testi uzmanları bir kara kutu modeli kullandıklarında, ağ hakkında sınırlı bilgiye sahiptirler. Örneğin, bir genel sunucunun ana bilgisayar adı, IP adresi ve müşterinin güvenlik politikaları veya ağı hakkında hiçbir bilgisi yoktur. Yapısı, işletim sistemleri, kullanılan yazılım ve ağ koruması. Yalnızca bu ayrıntılara sahip olan bir etik hacker, ağın en derinlerine sızmalı ve mümkün olduğu kadar çok güvenlik açığını tespit etmelidir. Kara kutu testinin aşamaları:
1-Keşif: Testten önce, etik bilgisayar korsanları, müşteriyi araştırır. Farklı, kamuya açık bilgi kaynaklarını kullanırlar: müşterinin web sitesi, WHOIS veritabanları (alan adlarının çevrimiçi depoları), web arama motorları, ticaret dergileri ve hatta sarı sayfalar.
2-Tarama: Bu aşamada, etik bilgisayar korsanları, müşterinin kullandığı işletim sistemi türünü belirlemek için çalışan servisler ve bağlantı noktaları hakkında bilgi alabilir. Örneğin, TCP-UDP bağlantı noktaları 137, 138, 139, 445 Microsoft OS’yi önerir; 22 numaralı bağlantı noktasındaki SSH, 21 numaralı bağlantı noktasındaki FTP veya 53 numaralı bağlantı noktasındaki DNS, Linux işletim sistemini belirtir. İşletim sistemi türünü belirlemenin başka bir yolu, TCP/IP yığın parmak izini kullanan bir yardımcı program olan Nmap’i kullanmaktır. Penetrasyon ekibi ayrıca bir güvenlik açığı tarayıcısı başlatır (ağda güvenlik ihlalleri olup olmadığını denetleyen ve bu tarama hakkında ayrıntılı bir rapor oluşturan otomatik bir araç)
3- Numaralandırma: Numaralandırma aşaması, ağdaki saldırı vektörlerini ortaya çıkarmak için hedef ana bilgisayarları bağlamayı amaçlar. Burada, etik bilgisayar korsanları, müşterinin kritik kaynaklarına, kullanıcı adlarına ve kullanıcı gruplarına (varsayılan kullanıcı veya yönetici hesaplarını tespit etmek için) ve başlık ekranlarına (yanlış yapılandırılmışsa, yazılımı ve cihazı ifşa edebilirler) doğrudan bağlantısı olabilecek açık ağ hizmetlerine ve paylaşımlarına odaklanır.
4- Erişim Elde Etme: Erişim kazanmak, tüm sızma testi operasyonunun doruk noktasıdır. Test ekibi, belirli ağ düğümlerine karşı parola kırma, arabellek taşması veya DoS kullanarak hedef sistemi tehlikeye atmaya çalışırır.
5- Yetki Yükseltme: Bilgisayar korsanlığı ekibi, herhangi bir ayrıcalıklı haklar olmadan ağa sızdığında, parola kırma araçları, zafiyetli uygulamalar veya servisler yardımıyla yönetici düzeyinde erişim elde etmeyi ve ağa erişimi sürdürmeyi amaçlar. Bunu yapmak için, sızma testi uzmanları, proje bitmeden kendileri tarafından kaldırılan arka kapılar oluşturur.
Avantajları ve Dezavantajları:
Yukarıda açıklanan beş aşama, penetrasyon sürecinin tam döngüsünü temsil eder. Buradaki en büyük avantaj, etik bilgisayar korsanlarının gerçeğe yakın koşullarda çalışmasıdır, bu nedenle maksimum sayıda güvenlik açığını keşfetmeye yakındırlar. Ayrıca, kara kutu penetrasyon testi ile sızma testi uzmanları genellikle açık kaynak araçları kullanır, çünkü büyük olasılıkla siber suçlular da bunlara başvuracaktır. Bu ücretsiz araçlar sayesinde, bir müşteri için penetrasyon testinin maliyeti, beyaz veya gri kutu testine kıyasla çok daha düşüktür.
Bununla birlikte, kara kutu penetrasyon testinde açık kaynak araçlarının kullanılması, işlevsel sınırları olduğu için dezavantajlarına sahiptir. Kara kutu penetrasyon testinin bir başka dezavantajı, müşteri ağ hakkında çok az bilgi sağladığı için testçilerin tüm altyapıyı görememesidir. Bu nedenle, sızma testi uzmanları bazı önemli güvenlik açıklarını gözden kaçırabilir.
White Box Testi
Genel Bakış: Beyaz kutu sızma testi, etik bilgisayar korsanlarının, yönetici hakları ve yapılandırma dosyalarına erişim gibi müşterinin ağ bilgilerine erişimi vardır. Bir şirketin çevrimiçi hizmetlerinin beyaz kutu penetrasyon testine ihtiyaç duyduğu bir örneği ele alalım. Bu durumda, sızma testi ekibi sunucu yapılandırmalarını, kiminle iletişim kurduğunu ve veritabanı şifreleme ilkelerini görebilir.
Avantajları ve Dezavantajları: Beyaz kutu sızma testi, etik bilgisayar korsanları hedef sistem hakkında her şeyi bildiği için deterministik bir yaklaşımdır. Bu faktör, bir sızma testi uzmanının lehine çalışır çünkü, projedeki zaman kısıtlamalarıyla başa çıkmaya yardımcı olur. Aynı zamanda, bu tür testler, bir suçlunun ağa nasıl girdiği hakkında herhangi bir bilgi sağlamaz, bu nedenle bu güvenlik açıkları düzeltilmeden kalır.
Grey Box Testi
Genel Bakış: Gri kutu penetrasyon testi, yukarıdaki yazmış olduğumuz yaklaşımları kapsar. Yine de kara kutu testine daha yakındır. Bir müşteri, kullanıcı oturum açma ayrıntıları veya ağın genel görünümü gibi bilgileri kısmen paylaşır. Bir web uygulamasının sızma testi sırasında, bir test mühendisi potansiyel giriş noktalarını keşfetmeye çalışacaktır. Bazıları herkese açık olarak kullanılabilirken (dosya indirme formu, geri bildirim formu), bazıları yalnızca kurumsal kullanıcılar içindir (kimlik doğrulama formu). Şirket, sızma testi uzmanına ağın daha derinlerine inmesi için kurumsal bir hesap sağlayabilir.
Avantajları ve Dezavatajları: Gri kutu modelinde müşteri, ağlarına ilişkin tüm bilgileri sağlamaz. Bu faktör, testin kapsamı ve zaman çerçevesi üzerindeki sınırlarla birlikte, etik bilgisayar korsanlarının önemsiz güvenlik açıklarını gözden kaçırmasına neden olabilir. Bu nedenle, bu yaklaşımı seçmeden önce müşteri, hangi ağ alanlarının sızma testine ihtiyaç duyduğunu ve hangilerine bir sızma testi tarafından erişilmesi gerektiğini tanımlamalıdır.
Siyah mı, gri mi yoksa beyaz mı?
Özetle, sızma testi türleri, ağ güvenlik durumunun farklı açılardan özetler:
Black Box: Bir yabancının bakış açısı.
White Box: Yetkilere sahip içeriden biri.
Grey Box: İçeriden öğrenilen bilgilerin unsurlarına sahip bir yabancı.
Şirketler, favori penetrasyon testi rengini seçmeden önce, ağlarının güvenliği için ne tür bilgiler almak istediklerini belirlemelidir. Harici ağın çevresinde gerçek hayattaki hack’leri simüle etmek istiyorsanız kara kutu, ağ sistemlerinin doğru yapılandırılıp yapılandırılmadığını kontrol etmek istiyorsanız beyaz kutu, kara kutu testi istiyorsanız ancak daha derin bilgiler istiyorsanız gri kutu penetrasyon testini tercih edebilirsiniz.