OzzTech - Black-Grey-White Box Penetrasyon Testi Türleri Nelerdir?

Black-Grey-White Box Penetrasyon Testi Türleri Nelerdir?

Black-Grey-White Box Penetrasyon Testleri Nelerdir?

Büyük ve küçük işletmeler, finansal kayıpları önlemek, güvenlik düzenlemelerine uymak ve müşterilerin gözünde güvenlik bilincine sahip bir imajı sürdürmek gibi avantajlardan yararlanmak için penetrasyon testi sağlayıcılarına yılda bir veya üç ayda bir önemli meblağlar öderler.

Bilgi güvenliği sağlayıcıları genellikle birkaç tür sızma testi sunar: kara kutu, beyaz kutu ve gri kutu. Bunlar ne anlama gelmektedir, avantajları ve dezavantajları nelerdir? Hadi daha yakından bakalım.

Penetrasyon Testi Türleri

Black Box Testi

Genel Bakış: Penetrasyon testi mühendisleri

etik bilgisayar korsanları veya sızma testi uzmanları bir kara kutu modeli kullandıklarında, ağ hakkında sınırlı bilgiye sahiptirler. Örneğin, bir genel sunucunun ana bilgisayar adı, IP adresi ve müşterinin güvenlik politikaları veya ağı hakkında hiçbir bilgisi yoktur. Yapısı, işletim sistemleri, kullanılan yazılım ve ağ koruması. Yalnızca bu ayrıntılara sahip olan bir etik hacker, ağın en derinlerine sızmalı ve mümkün olduğu kadar çok güvenlik açığını tespit etmelidir. Kara kutu testinin aşamaları:

1-Keşif:  Testten önce, etik bilgisayar korsanları, müşteriyi araştırır. Farklı, kamuya açık bilgi kaynaklarını kullanırlar: müşterinin web sitesi, WHOIS veritabanları (alan adlarının çevrimiçi depoları), web arama motorları, ticaret dergileri ve hatta sarı sayfalar.

2-Tarama: Bu aşamada, etik bilgisayar korsanları, müşterinin kullandığı işletim sistemi türünü belirlemek için çalışan servisler ve bağlantı noktaları hakkında bilgi alabilir. Örneğin, TCP-UDP bağlantı noktaları 137, 138, 139, 445 Microsoft OS'yi önerir; 22 numaralı bağlantı noktasındaki SSH, 21 numaralı bağlantı noktasındaki FTP veya 53 numaralı bağlantı noktasındaki DNS, Linux işletim sistemini belirtir. İşletim sistemi türünü belirlemenin başka bir yolu, TCP/IP yığın parmak izini kullanan bir yardımcı program olan Nmap'i kullanmaktır. Penetrasyon ekibi ayrıca bir güvenlik açığı tarayıcısı başlatır (ağda güvenlik ihlalleri olup olmadığını denetleyen ve bu tarama hakkında ayrıntılı bir rapor oluşturan otomatik bir araç)

3- Numaralandırma: Numaralandırma aşaması, ağdaki saldırı vektörlerini ortaya çıkarmak için hedef ana bilgisayarları bağlamayı amaçlar. Burada, etik bilgisayar korsanları, müşterinin kritik kaynaklarına, kullanıcı adlarına ve kullanıcı gruplarına (varsayılan kullanıcı veya yönetici hesaplarını tespit etmek için) ve başlık ekranlarına (yanlış yapılandırılmışsa, yazılımı ve cihazı ifşa edebilirler) doğrudan bağlantısı olabilecek açık ağ hizmetlerine ve paylaşımlarına odaklanır.

4- Erişim Elde Etme: Erişim kazanmak, tüm sızma testi operasyonunun doruk noktasıdır. Test ekibi, belirli ağ düğümlerine karşı parola kırma, arabellek taşması veya DoS kullanarak hedef sistemi tehlikeye atmaya çalışırır.

5- Yetki Yükseltme: Bilgisayar korsanlığı ekibi, herhangi bir ayrıcalıklı haklar olmadan ağa sızdığında, parola kırma araçları, zafiyetli uygulamalar veya servisler yardımıyla yönetici düzeyinde erişim elde etmeyi ve ağa erişimi sürdürmeyi amaçlar. Bunu yapmak için, sızma testi uzmanları, proje bitmeden kendileri tarafından kaldırılan arka kapılar oluşturur.

Avantajları ve Dezavantajları:

Yukarıda açıklanan beş aşama, penetrasyon sürecinin tam döngüsünü temsil eder. Buradaki en büyük avantaj, etik bilgisayar korsanlarının gerçeğe yakın koşullarda çalışmasıdır, bu nedenle maksimum sayıda güvenlik açığını keşfetmeye yakındırlar. Ayrıca, kara kutu penetrasyon testi ile sızma testi uzmanları genellikle açık kaynak araçları kullanır, çünkü büyük olasılıkla siber suçlular da bunlara başvuracaktır. Bu ücretsiz araçlar sayesinde, bir müşteri için penetrasyon testinin maliyeti, beyaz veya gri kutu testine kıyasla çok daha düşüktür.

Bununla birlikte, kara kutu penetrasyon testinde açık kaynak araçlarının kullanılması, işlevsel sınırları olduğu için dezavantajlarına sahiptir. Kara kutu penetrasyon testinin bir başka dezavantajı, müşteri ağ hakkında çok az bilgi sağladığı için testçilerin tüm altyapıyı görememesidir. Bu nedenle, sızma testi uzmanları bazı önemli güvenlik açıklarını gözden kaçırabilir.

White Box Testi

Genel Bakış: Beyaz kutu sızma testi, etik bilgisayar korsanlarının, yönetici hakları ve yapılandırma dosyalarına erişim gibi müşterinin ağ bilgilerine erişimi vardır. Bir şirketin çevrimiçi hizmetlerinin beyaz kutu penetrasyon testine ihtiyaç duyduğu bir örneği ele alalım. Bu durumda, sızma testi ekibi sunucu yapılandırmalarını, kiminle iletişim kurduğunu ve veritabanı şifreleme ilkelerini görebilir.

Avantajları ve Dezavantajları: Beyaz kutu sızma testi, etik bilgisayar korsanları hedef sistem hakkında her şeyi bildiği için deterministik bir yaklaşımdır. Bu faktör, bir sızma testi uzmanının lehine çalışır çünkü, projedeki zaman kısıtlamalarıyla başa çıkmaya yardımcı olur. Aynı zamanda, bu tür testler, bir suçlunun ağa nasıl girdiği hakkında herhangi bir bilgi sağlamaz, bu nedenle bu güvenlik açıkları düzeltilmeden kalır.

Grey Box Testi

Genel Bakış: Gri kutu penetrasyon testi, yukarıdaki yazmış olduğumuz yaklaşımları kapsar. Yine de kara kutu testine daha yakındır. Bir müşteri, kullanıcı oturum açma ayrıntıları veya ağın genel görünümü gibi bilgileri kısmen paylaşır. Bir web uygulamasının sızma testi sırasında, bir test mühendisi potansiyel giriş noktalarını keşfetmeye çalışacaktır. Bazıları herkese açık olarak kullanılabilirken (dosya indirme formu, geri bildirim formu), bazıları yalnızca kurumsal kullanıcılar içindir (kimlik doğrulama formu). Şirket, sızma testi uzmanına ağın daha derinlerine inmesi için kurumsal bir hesap sağlayabilir.

Avantajları ve Dezavatajları: Gri kutu modelinde müşteri, ağlarına ilişkin tüm bilgileri sağlamaz. Bu faktör, testin kapsamı ve zaman çerçevesi üzerindeki sınırlarla birlikte, etik bilgisayar korsanlarının önemsiz güvenlik açıklarını gözden kaçırmasına neden olabilir. Bu nedenle, bu yaklaşımı seçmeden önce müşteri, hangi ağ alanlarının sızma testine ihtiyaç duyduğunu ve hangilerine bir sızma testi tarafından erişilmesi gerektiğini tanımlamalıdır.

Siyah mı, gri mi yoksa beyaz mı?

Özetle, sızma testi türleri, ağ güvenlik durumunun farklı açılardan özetler:

Black Box: Bir yabancının bakış açısı.

White Box: Yetkilere sahip içeriden biri.

Grey Box: İçeriden öğrenilen bilgilerin unsurlarına sahip bir yabancı.

Şirketler, favori penetrasyon testi rengini seçmeden önce, ağlarının güvenliği için ne tür bilgiler almak istediklerini belirlemelidir. Harici ağın çevresinde gerçek hayattaki hack'leri simüle etmek istiyorsanız kara kutu, ağ sistemlerinin doğru yapılandırılıp yapılandırılmadığını kontrol etmek istiyorsanız beyaz kutu, kara kutu testi istiyorsanız ancak daha derin bilgiler istiyorsanız  gri kutu penetrasyon testini tercih edebilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.