Sızma testleri, en az 6 ayda bir profesyonel bir ekip ile yapılmalıdır. Bu işlemin yapılmaması halinde şirketlerin veri ve prestij kaybı ile karşılaşmaları kaçınılmazdır. Sızma testleri gerçekleştirilmeden önce, gizlilik anlaşması imzalanır. Bu anlaşma sayesinde sızma testi ekibi bulduğu kritik bilgileri herkese açık bir şekilde paylaşmayacağını teyit ederken, hizmet alan şirket bu işlemin bilgisi dahilinde olduğunu beyan eder.
Siyah, Gri ve Beyaz kutu olmak üzere üç çeşit sızma testinden bahsedebiliriz.
Beyaz kutu (White Box Pentest): Şirket, sızma testi ekibi ile uygulamaların kaynak kodlarını, şifrelerini, yerel ağa fiziksel erişimini, kısacası sızma testinin yapılacağı ortam ile ilgili tüm bilgileri paylaşır. Bu sayede sızma testi ekibi sistem üzerinde içeriden çok kapsamlı taramalar gerçekleştirebilir.
Gri kutu (Grey Box Pentest): Şirket, sızma testi ekibine düşük yetkili kullanıcı, müşteri, çalışan hesabı gibi hesaplar temin eder. Bu hesapları verme amacı yakın çevreden yapılabilecek saldırıları simüle etmek, ölçmek ve önlemektir.
Siyah kutu (Black Box Pentest): Şirket, sızma testi ekibi ile hiçbir bilgi paylaşmaz. Sızma testi ekibi, bir saldırgan gibi sıfırdan açık aramaya başlar. Bilgi paylaşmamasının sebebi, dışarıdan hiçbir bilgiye sahip olmadan yapılabilecek saldırıları simüle etmek, ölçmek ve önlemektir.
Hackerlar arasında da bu üç sızma testine benzer ayrım bulunur. Beyaz, Gri ve Siyah şapka olarak ayırabiliriz.
Beyaz şapkalı hackerlar, bizler gibi, siber güvenlik uzmanlarıdır. Kişinin veya şirketin izni olmadan hiçbir saldırı gerçekleştirmez, etiği hiçbir koşulda çiğnemezler.
Gri şapkalı hackerlar, beyaz şapkaların aksine izinsiz saldırılarda bulunabilirler. Fakat genellikle insanlara zarar vermek için yapmazlar. Buldukları zafiyetleri raporlayabilir, ya da el altından satabilirler. Bazı durumlarda çoğunluğun iyiliği için etiği yok sayabilirler.
Siyah şapkalı hackerlar ise internetin bilgisayar korsanı olarak tanıdığı, zararlı kişilerdir. Etik anlayışları yoktur. Bilgi çalmayı ve girdikleri sistemlere zarar vermeyi amaçlarlar. Bunu gerek para için, gerek şöhret için yapabilirler.
Siyah şapka gibi çalışan, hacktivistler de vardır. Kendi ideolojilerini yaymak için zıt görüşlü insanlara veya şirketlere siber saldırı düzenleyebilirler.
-Kenan Özgür ÖZÜGÜRLER
留言