Siber güvenlik dünyasında her ne kadar kabul görmüş belli başlı bazı yöntemler olsa da, aslında sızma testlerinin (pentest) pek çok yöntemleri vardır. Bizler yinede siber güvenlik alanında kabul görmüş yöntemleri baz alarak, sızma testleri çalışmalarını daha profesyonelce yürütmek zorunda olduğumuzu ve çalışmalarımızı bu doğrultuda yapmanın bizler açısından daha sağlıklı ve sistematik bir çalışma ile sonuçlanacağını belirtmek isteriz. Peki bu yöntemler nelerdir?
- Black Box
- Gray Box
- White Box
Şeklinde üçe ayırabiliriz. Bu terimlere özet olarak açıklama yapacak olursak;
Black Box:
Siber güvenlik dünyasında gelebilecek her türlü saldırıya olası gözüyle bakmamız gerekir. Ancak bu bazen pek de mümkün olmayabilir. Black Box yöntemi yaklaşımında güvenlik testi yapılacak sistemle ilgili başlangıçta bir bilgi yoktur. Burada yapılacak çalışmalar geniş kapsamlı olacak şekilde ön görülemeyen/bilinmeyen sistem ile ilgili veriler toplanır. Yapılacak çalışma testleri eldeki verilere göre hareket edilir. Sızma testi ekibinin sistem ile ilgili bilgi düzeyi hiç olmadığını göz önüne aldığımız zaman, sisteme zarar verme ihtimalleri de yüksektir. Bu yöntemde ki bilgilerin toplama safhası oldukça zaman aldığı da bir gerçek ve zaman bakımından en uzun süren yaklaşım yöntemidir.
Gray Box:
Black Box yaklaşımına kıyasla daha kısa süreli çalışmalar ile sızma testi aşamaları yapıldığını söyleyebiliriz. Black Box yöntemi yaklaşımında güvenlik testi yapılacak sistemle ilgili başlangıçta bir bilgi olmadığını belirtmiştik. Burada ise durum biraz daha farklı olarak sistem ile ilgili bazı bilgiler mevcuttur. Örnek verecek olursak IP adres listeleri, sunucu bilgileri, sistem ile ilgili versiyon bilgileri vb. gibi bilgiler sızma testi yapacak ekibe öncesinde bu bilgiler sağlanır. Doğal olarak Black Box yaklaşımına göre daha kısa zaman aldığını belirtebilir, kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimallerinin de azalacağını söyleyebiliriz.
White Box:
Kelime anlamı itibarî ile “Beyaz Kutu” olarak ifade edilen bu yaklaşımda, sızma testi güvenlik ekibinin sistemin kendisine veya arka planda çalışan ilave teknolojilere dair tam anlamıyla hakim olarak görüyoruz. Özellikle Black Box tekniğine kıyasla kurumlara veya firmalara daha büyük yarar sağladıkları da bir gerçek. Sistemdeki hatalara, zafiyetlere (açıklar) yönelik tedbir kapsamları almanın çok daha kolay olduğundan, alınacak tedbir kapsam süresi de azalacaktır. Sistemlere yönelik bilgi hakimiyetinin sağlandığı bu yöntemdeki en büyük yarar, sistemde oluşabilecek zarar riskleri daha az ve maliyet açısından da daha uygun olduğunu söyleyebiliriz.