İpek Övgü Ulusoy | Process Manager & Digital Consultant

Pentest Nedir? Black Box, White Box ve Gray Box Yöntemleri Karşılaştırması

Siber saldırılar dijital dünyamızın kaçınılmaz bir gerçeği haline gelmiştir. KVKK kapsamında kişisel verilerin korunması amacıyla güvenlik tedbirleri alınması zorunludur. Bu kapsamda birçok projede pentest hizmetleri önerilmektedir. Siber Güvenlik; kullanıcı datalarını, sistemi ayakta tutan dinamikleri, cihaz ve veri güvenliğini korumak için saldırılara karşı düzenlenen bir savunma mekanizmasıdır.

Sistem güvenliğiniz için öncelikle yazılan uygulamanın güvenlik raporları çıkarılır. Bu raporlar sonucunda pentest (penetrasyon, sızma testi) hizmeti sağlanır. Pentest hizmetinin amacı; sistem açıklarını bulmaktır. Pentest hizmetinin 3 farklı yöntemi vardır:

Black Box (Kara Kutu) Yöntemi

Sistemi test edecek Siber Güvenlik Hizmetleri sunan kişi veya kuruma, sistem hakkında önceden herhangi bir bilgi, rapor verilmez. Test edici araştırmaya koyulur. Sistemi tanımaya ve erişmeye çalışır. Saldırı atakları düzenler. Bu yöntemin tercih edilmesi diğer yöntemlere göre daha düşüktür. Zirâ testi yapan firma veya kişi bu yöntemle testin kapsamı doğru tanımlanmazsa, üretim ortamına zarar verme riski taşıyabilir. Bu nedenle dikkatli planlama yapılmalıdır. Son kullanıcı gözünden sistem test edilmiş olur.

Kullanılan Tekniklerden Bazıları:

  • Fuzzing
  • Vulnerability Scanning
  • Web Application Scanning
  • DNS Enumeration
  • Brute Force Attacks
  • Wireless Network Scanning

White Box (Beyaz Kutu) Yöntemi

Sistemi test edecek Siber Güvenlik Hizmetleri sunan kişi veya kuruma, sistem hakkındaki tüm bilgiler, raporlar öncesinden ulaştırılır. Sistemi son kullanıcı gibi çözmekle zaman kaybedilmediği için süreç daha hızlı ilerler. Sürecin hızlı ilerlemesi, sistem açığının hızlıca tespit edilip onarılmasından geçtiği için büyük önem teşkil etmektedir. Bir diğer artısı ise daha detaylı açıklık tespiti yapılabilmesidir. Kod bazlı açıklar da bulunabilir.Sistem sahibi gözünden test edilmiş olur.

Gray Box (Gri Kutu) Yöntemi

Sistemi test edecek Siber Güvenlik Hizmetleri sunan kişi veya kuruma, sistem hakkında kısıtlı bilgiler, raporlar ulaştırılır. Kullanmış olduğunuz sistemin kısıtlı ayrıcalıklarına erişebilen kullanıcılar gözünden test edilmiş olur.

Bu aşamada sizlerin Siber Güvenlik Firmaları arasında tercih nedeni olarak kullanabileceğiniz değerlendirme periyodunun içeriği; hangi yöntemi uyguladıkları, maliyet analizi, ekip kalitesi, resmi taahhütleri gibi etkenler bulunmaktadır. Siber saldırılar her zaman olacaktır. Siber saldırılara karşı savunmanın hukuki ve sistem sağlığı açısından pentest hizmetine ihtiyacı vardır.