Penetrasyon testi firmaların Bilişim Sistemlerini oluşturan ağ altyapılarını,donanım, yazılım ve uygulamalara kötü niyetli birinin saldırmasını öngören yöntemler kullanılarak yapılan saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılması ve tüm bu işlemlerin raporlanmasıdır. Amaç şirketlerin farkında olmadıkları güvenlik açıklarının iyileştirilmesidir.Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Penetrasyon Testleri: Black Box, Gray Box, White Box olarak üç gruba ayrılır. Black Box:Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz. Zarar vermek ya da firmadan bilgi sızdırmak amacıyla sızmaya çalışan saldırgan gibi davranılarak verilebilecek zararları görmek ve önlem almak amacıyla sistemlere girmeye çalışılır. Gray Box: White Box + Black Box olarak tanımlayabiliriz. Sistemlerin, sistemler hakkında detaylı bilgi alınmadan test edilmesi yöntemidir. Bu test ile firma içinde kısıtlı yetkilere sahip kullanıcıların sisteme verebilecekleri zararlar tespit edilip önlemler geliştirilir. White Box: Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış ya da hala çalışmakta olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır.
Hiç yorum yok:
Yorum Gönder