KARA KUTU PENETRASYON TESTİ NEDİR? (BLACK BOX SIZMA TESTİ)

Penetrasyon Testi Nedir

Günümüzde önüne geçilemez bir şekilde artan siber saldırılar, siber güvenlik uzmanlarını çeşitli önlemler almaya yöneltmiştir. Ana hatlarıyla bakıldığında önlemler ofansif ve defansif olmak üzere ikiye ayrılmaktadır.
Penetrasyon testi hücuma dayalı olarak görülen bir siber güvenlik testidir. Bu testte siber güvenlik görevlileri, olası bir saldırgan gibi hareket ederek kurumunuzun sistemine sızmaya çalışırlar. Bir nevi tatbikat saldırısı gibi olan sızma testi çalışmaları sonucunda, siber güvenlik ekibi ne kadar sızabildikleri ve güvenlik açıklarını raporlarlar. Böylece bu rapora göre gerekli önlemler alınır. Pentest ile alakalı detaylı bilgi verdiğimiz blog yazımıza buraya tıklayarak ulaşabilirsiniz.
Bu yazımızda penetrasyon testi türlerin arasında olan Kara Kutu sızma testi başlığını mercek altına alacağız.

Kara Kutu Testi Nedir?

Kara kutu testinin en basit tanımı, test edilen sistemin iç işleyişi hakkında hiç bilgi sahibi olmadan işlem yapılması şeklindedir. Örnek olarak testin bir yazılım mühendisliği kurumu için yapıldığını düşünelim. Bu durumda testi yapan ekip yalnızca yasal olarak belirtilmiş olan verileri bilmektedir. Programın sözü geçen verilere nasıl ulaştığı bilinmemektedir.

Tam da bu sebeple kara kutu testlerinde programın/ sistemin ne olduğunun dışında bir bilgiye genellikle ihtiyaç duyulmaz. Diğer test yöntemlerine kıyasla kara kutu pentest çalışmasının artıları ve eksiler vardır. Şimdi bunlara kısaca göz atalım:

Kara Kutu Testin Faydaları

a) Test yapan tarafın özel bir dil bilmesine ihtiyaç yoktur.

b) Testi yapan ekip ile yazılım/ sistem içerisinden birisinin iletişimde olması elzem değildir.

c) Sızma Testi kullanıcının perspektifinden, sanki gerçek bir saldırganca yapılıyormuş gibi yapılır.

ç) Spesifik noktalardaki olası açıklar detaylı bir şekilde saptanır.

e) Sistemin/yazılımın/test yapılan ürünün spesifik bir bölümü hazır olduğu andan itibaren teste başlanabilir. Tamamlanmış olması elzem değildir.

Kara Kutu Testin Dezavantajları

a) Küçük sayıda girdiler test edilebilir, mümkün olan tüm girdileri test etmek neredeyse sonsuza kadar sürecektir.

b) Net ve hedefi belirli bir şekilde belirlenmediği sürece, test için rapor oluşturmak çok zordur.

c) Eğer sistemin içerisinde hali hazırda yapılmış olan taramalar/testler, kara kutu pentest yapan ekibe bildirilmezse, gereksiz tekrarlamalar yapılabilir.

Kara Kutu Penetrasyon Testi Hizmeti Nasıl Alınır

Karar vermekte zorlanıyorsanız yapabileceğiniz en isabetli hamle, siber güvenlik konusunda uzman bir firmadan danışmanlık almak olacaktır. Kendi içerisinde çeşitli teknik detaylara sahip olan penetrasyon testi çalışmaları, kurumunuzun ve sisteminizin spesifik özelliklerine göre değişebilir.

Rootcon Siber Güvenlik olarak bu konuda size hizmet vermekten mutluluk duyarız. Buraya tıklayarak web sitemizdeki hizmetlerimize göz atabilir, web sitemiz aracılığıyla bize ulaşabilirsiniz.

Kurumunuzu dijitalde güvende tutmak istiyorsanız, çekinmeden bizimle iletişime geçin.

Güvenli günler dileriz.