BEYAZ KUTU PENETRASYON TESTİ NEDİR? (WHITE BOX SIZMA TESTİ)

Penetrasyon testi siber güvenlik önlemlerinin en popülerleri olmayı sürdüren bir önlem çeşididir. Uygulandığı sisteme ve müşterinin taleplerine göre değişiklik gösterebilen bu önlem, bir nevi saldırı tatbikatı olarak adlandırılabilir. Başarılı bir testin gerçekleşmesi için işinin ehli bir ekip ve derinlemesine rapor alınabilen çalışmalar elzemdir. Aksi takdirde her an yeni bir saldırı yönteminin ortaya çıkabildiği günümüzde, eski metotlara karşı koruma ve karmaşık/yetersiz raporlar çıkartmaktan başka işe yaramayan sızma testleri ortaya çıkabilir. Bu konuda kaleme aldığımız blog metnimize buraya tıklayarak ulaşabilirsiniz.
Bu yazımızda sözü geçen çalışmanın en sık tercih edilen metotlarından birisi olan White Box Pentest ile alakalı yararlı bilgiler paylaşacağız.

İçeriden Sistemi Denetleyen Bir Dedektif

Whitebox penetrasyon testi denetlenen sistemle alakalı önden bilgi alınarak yapılan bir denetlemedir. Gerekli bilgiye sahip olan test ekibi, sistemin arka planını, yazılı kodlarını ve benzeri ince ayrıntılarını derinlemesine inceler. Bu bilgi test ekibine rahat bir hareket alanı sağlamakla kalmaz, test sırasında oluşabilecek istenmeyen bir zararın da önüne geçer.

Esas olarak anlaşılmak istenen, firmanın içerisinde olan ve çeşitli bilgilere erişimi sağlanmış kişilerin ne kadar zarara sebep olabileceğidir. Siber saldırganların üçüncü kişileri kullanarak saldırı yaptıkları birçok örnekte gözlemlenmiştir. Bu saldırılarda bazen kişi saldırganla iş birliği halindedir, bazense ne yaptığının farkında olmadan saldırganlar tarafından manipüle edilmektedir.
Hangi örnek olursa olsun white box sızma testi şirket içinden gelebilecek bir saldırıya karşı daha dirayetli olmanıza olanak verir. Özellikle size ağır kayıplar yaşatabilecek kritik bilgileriniz için, bu önlemi almanız isabetli olacaktır.
Bu testin diğerlerine kıyasla avantajlarına ve dezavantajlarına kısaca göz atalım…

White Box Penetrasyon Testi Avantajları

- Sistem ve altyapı kodlanışı ile alakalı detaylı bilgiye sahip olunduğu için, yapılan testin daha efektif olması sağlanır. Normalde mümkün olmayacak kadar derinlemesine bir test ile olası açıklar daha isabetli saptanır.

- Mevcut sisteme rahatlıkla göz atabileceği için, sızma testi ekibi kod yazılımı düzeyinde optimizasyon önerisinde bulunabilirler.

- Gözden kaçan, gizli veya bilinçli olarak eklenmiş ekstra kodları yakalama/ saptama imkanı doğar. En sık güvenlik açığı oluşmasını sağlayan sebepler arasında bunlar önemli bir yer kaplamaktadır.
Görüldüğü gibi White Box Penetrasyon Testi sisteminiz için işinin ehli bir ekibin, içeriden ve dışarıdan gelebilecek saldırılara karşı önlem alabilmesine olanak vermektedir. Bununla beraber testin, diğer versiyonlarına kıyasla dezavantajlarına göz atmakta da yarar görmekteyiz…

Beyaz Kutu Sızma Testi’nin Dezavantajları

- Kod sistemine içeriden bakacak, ileri seviye donanımlı bir test ekibine ve yoğun işçiliğe ihtiyaç duyulmaktadır. Dolayısıyla masraf olarak daha yüksektir.

Gerçekten Böyle Bir Teste İhtiyacınız Var Mı

Siber kulvar o kadar geniştir ki genellikle şirketler kendilerinin saldırıya uğrayacağına akıllarına bile getirmezler. Buna ek olarak orta, orta-büyük ve küçük ölçekli şirketler kendilerinin bir hedef olmayacağını düşünürler.

Bu konuya farklı bir açıdan bakalım… Elinizde herhangi bir kaleye sızabilecek paralı askerler var. Bir tarafta hedef olmayacağını düşündüğü için neredeyse hiç muhafızı olmayan küçük bir kale, diğer tarafta ise hazinelerle dolu çok iyi korunan bir kale var.

Bu durumda saldırgan nereyi tercih eder?..
Penetrasyon testi ile önlem alınmamış bir sistem, bu örnekteki birkaç muhafızlı kaleye benzer diyebiliriz. Akıllı bir saldırgan bu durumda önce güvenliği çok düşük olan kaleleri soyarak daha çok para kazanır. Sonra da elde ettiği zenginlikle daha büyük bir paralı asker ekibi kurabilir. Kim bilir belki de o kadar çok korunmasız kale vardır ki, büyük ve korunaklı kaleye saldırmaya gerek bile duymayabilir.
Bu örnekte saldırganı Türkiye’de de aktif olan hacker gurupları, kaleleri şirketiniz, düşük güvenliği anti-virüs programınız, zenginlikleri de fidye karşılığı rehin alınacak veya rakibinize satılacak bilgileriniz olarak görebilirsiniz. Siber saldırganların akıllı saldırganlar olduğunu da unutmadan belirtelim…
Sızma Testi ise bu tarz saldırganların numaralarını çok iyi bilen, yakından takip eden ve bu yöntemlerle kalenize sızma tatbikatı yapan bir ekiptir desek isabetli olur.
Kısaca özetlersek penetrasyon testi sayesinde, hazinelerinizi çalmak için kalenizin surlarınıza tırmanan bir saldırgan daha içeri giremeden, kendisini önceden uyarılmış muhafızınızın mızrağının ucunda bulur.

Penetrasyon Testi Hizmeti Almak

Rootcon Siber Güvenlik ekibi olarak bu konuda size yardımcı olmaktan mutluluk duyarız. Rootcon’un Advanced Atack Simulation (İleri Seviye Saldırı Simülasyonu) hizmetlerine ulaşabilir, daha detaylı bilgi edinebilirsiniz.
Güvenli günler dileriz…