Sızma testleri (pentest): Belirlenen bilişim sistemlerine mümkün olabilicek ve müşteri tarafından oanyı verilmiş her yolun denenrek sızılmaya çalışma işlemine pentest nedir.
Penteste amaç güvenlik açıklıgını bulmaktan öte bulunan açıklıgı degerlendirip sistemlere erişimler elde etmek ve elde edilen erişimler kullanılırak tüm zafiyetlerin ortaya çıkarılmasıdır.
Sızma testleri çeşitleri;
Sızma testleri üçe ayrılmaktadır.
Whitebox
Blackbox
Graybox
Blackbox pentest - kapalı kutu sızma testleri;
Bunlardan blackbox biizm genelde bilşdiğimiz ve yaptırdığımız pentest yöntemidir.Bu yöntemde testleri gerçekleştirilen firmayla herhangi bir bilgi paylaşılamaz. Firma ismi ve firmanın sahip oldugu domailnler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.
Whitebox pentest - Açık kutu sızma testleri
Bu sızma test yöntemiyle firma tüm bilgileri paylaşır ve olabildiğince sızma testi yapanlara bilgi vermek konsunda yardımcı olur.
Zafiyet değerlendirme testleri (vulnerability assessment)
Belirlenen sistemlerede güvenlik zaafiyetine sebeh olabilircek açıklıkların araştırılması. Bu yöntem için genellikle otamatize açarlar kullanılır(Nmap. Nessus. Qualys vs)gibi Vulnerability assessment
çalışmaları sızma testleri kadar tecrübe zaman gerektirmeyen çalışmalardır. Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar.
Zaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment
kastedilir.
