Pentest Türleri ve Kapsamı: Black, White, Grey Box ve Hedef Türleri

Hızlı cevap: Pentest tek bir hizmet değildir. İki ayrı eksende seçilir: testçiye verilen bilgi (black box sıfır bilgi, grey box kısmi, white box kaynak kod dahil tam bilgi) ve hedefin türü (ağ, web, API, mobil, bulut, kablosuz, sosyal mühendislik, fiziksel). Doğru türü bütçe değil, neyi kanıtlamak istediğiniz belirler. Dışarıdan saldırıya mı dayanıklısınız, yoksa içeri sızan biri nereye kadar gider mi? Bu iki soru iki ayrı testtir.

Bir firma bizi arar ve "bir pentest istiyoruz, fiyat nedir?" der. Bu, "bir ameliyat istiyoruz, ne kadar?" demeye benzer. Hangi organ? Hangi yöntem? Neyi tedavi ediyoruz? Sızma testinde de ilk soru fiyat değildir. İlk soru şudur: neyi kanıtlamak istiyorsunuz? Cevap, hangi türde ve hangi kapsamda test yapılacağını baştan belirler. Yanlış tür seçilirse, rapor dolu görünür ama gerçek riskiniz hiç dokunulmadan yerinde kalır.

Bu yazıda sızma testini iki ekseniyle açıyoruz: testçiye verilen bilgi seviyesi ve hedefin türü. Sürecin adım adım nasıl işlediğini, ne kadar sürdüğünü ve fiyatlamayı sızma testi süreci ve fiyat rehberimizde ayrıca anlattık; burada odak tamamen tür ve kapsam seçiminde.

Birinci eksen: Testçi ne kadar biliyor? (Black, White, Grey Box)

Sızma testinin ilk ayrımı, testi yapan ekibe ne kadar bilgi verildiğidir. Bu seçim, testin gerçekçiliğini, hızını ve derinliğini doğrudan belirler. Üçü arasındaki fark akademik değil; pratikte bambaşka raporlar üretir.

Black box: sıfır bilgi, gerçek saldırgan gibi

Black box testte ekip, dışarıdaki bir saldırganın bildiği kadarını bilir: belki sadece bir alan adı, belki bir IP bloğu. Kaynak kod yok, mimari şeması yok, hesap yok. Ekip her şeyi sıfırdan keşfeder; tıpkı sizi hiç tanımayan bir saldırgan gibi.

Bu yaklaşımın güçlü yanı gerçekçiliğidir. Saldırgan da sizin iç dökümanlarınızı görmez. Ama bir bedeli vardır: keşif aşaması zaman yer, kapsamın bir kısmı testçinin eline geçmeden bütçe biter ve derin katmanlardaki kusurlar (mesela kaynak kodda görülecek bir mantık hatası) hiç bulunamayabilir. Black box, "dışarıdan gelen biri kapıdan içeri girebilir mi?" sorusunu en dürüst şekilde cevaplar, ama içerideki her odayı dolaşmaya çoğu zaman vakit kalmaz.

White box: tam bilgi, kaynak kod dahil

White box testte ekibe her şey verilir: kaynak kod, mimari dokümanı, ağ şeması, yetkili hesaplar, hatta geliştirici ekibine erişim. Burada amaç bir saldırganı taklit etmek değil, sistemde olabilecek her kusuru en kısa sürede ve en derinden bulmaktır.

White box hem en hızlı hem en kapsamlıdır. Keşfe zaman harcanmaz, doğrudan riskli noktalara inilir. Kaynak kod incelemesiyle birleştiğinde, black box testin asla göremeyeceği mantık açıkları, gizli endpoint'ler ve yetkilendirme hataları ortaya çıkar. Dezavantajı, "gerçek bir saldırgan bunu bulabilir miydi?" sorusunu cevaplamamasıdır. Ama güvenliği gerçekten yükseltmek istiyorsanız, kapsamı kanıtlamak değil, en çok kusuru bulup kapatmak hedefse, white box çoğu zaman en akıllı tercihtir.

Grey box: kısmi bilgi, dengeli orta yol

Grey box, ikisinin arasıdır. Ekibe sınırlı bilgi verilir: belki standart bir kullanıcı hesabı, belki temel mimari bilgisi, ama tam kaynak kod değil. Bu, sektörde en sık seçilen yaklaşımdır ve iyi bir sebebi vardır.

Grey box, "yetkisi olan ama kötü niyetli bir iç kullanıcı" ya da "kimlik bilgilerini ele geçirmiş bir saldırgan" senaryosunu en gerçekçi şekilde modeller. Sıfır bilgiyle harcanan keşif süresini kısaltır, ama testçiye her şeyi de söylemeyerek gerçekçiliği korur. Bütçe ile derinlik arasındaki en verimli denge çoğu zaman buradadır.

Boyut Black box Grey box White box
Verilen bilgi Yok (sadece hedef) Kısmi (hesap, temel mimari) Tam (kaynak kod, şema, hesaplar)
Gerçekçilik En yüksek Yüksek Düşük (saldırgan simülasyonu değil)
Hız En yavaş Orta En hızlı
Bulunan kusur derinliği Sınırlı (yüzey) İyi denge En derin (mantık + kod)
En uygun olduğu durum "Dışarı ne gösteriyoruz?" Çoğu kurumsal test "Her kusuru bul, hızlıca kapat"
Tipik maliyet/süre Yüksek Orta Verimli

DSET olarak şunu açıkça söyleriz: black box daha "havalı" diye otomatik en iyi seçim değildir. Çoğu firma için grey box ya da white box, aynı bütçeyle çok daha fazla gerçek kusur kapatır. Black box'ı, dışarıya görünen yüzeyin dayanıklılığını kanıtlamanız gerektiğinde, mesela bir uyum denetimi ya da müşteri talebi için seçeriz.

İkinci eksen: Test nereden başlıyor? (External ve Internal)

Bilgi seviyesinden bağımsız olarak, ikinci bir ayrım daha vardır: testin konumu.

External (dış) pentest, internetten erişilebilen varlıklarınızı hedefler: web siteleri, e-posta sunucuları, VPN ağ geçitleri, açık portlar. Soru nettir: dışarıdan biri içeri girebilir mi?

Internal (iç) pentest ise, saldırganın zaten ağ içinde olduğunu varsayar. Belki bir oltalama e-postasıyla bir bilgisayara sızdı, belki içeriden biri. Soru artık değişir: içeri giren biri nereye kadar gidebilir? Bir kullanıcı makinesinden domain yöneticisine, oradan tüm veritabanlarına kaç adımda ulaşır?

Burada saha tecrübemizden net bir uyarı: iç ağ testi, çoğu firmanın en büyük kör noktasıdır. Kurumlar bütçenin tamamını dış cepheye harcar, çünkü "tehdit dışarıdan gelir" sanılır. Oysa gerçek ihlallerin çoğunda saldırgan ilk adımda zaten içeridedir; bir parola, bir oltalama, bir tedarikçi hesabı yeter. İç ağınız düz ve korumasızsa, dış duvarınız ne kadar yüksek olursa olsun, ilk gediğin ardından her şey açıktır. Modern test yaklaşımı bu yüzden "assumed breach" (ihlal varsayımı) modeline kayar: testi, saldırgan zaten içerideymiş gibi başlatırız ve hasarın yayılma yarıçapını ölçeriz.

Üçüncü eksen: Neyi test ediyoruz? (Hedef türleri)

Bilgi seviyesi ve konumu seçtikten sonra, asıl kapsam gelir: hangi teknoloji yüzeyini test ediyoruz? Her birinin ayrı yöntemi, ayrı araç seti ve ayrı uzmanlığı vardır.

Ağ ve altyapı pentesti

Sunucular, güvenlik duvarları, yönlendiriciler, Active Directory, açık servisler. Yamasız sistemler, zayıf yapılandırmalar, varsayılan parolalar ve ağ içi yanal hareket (lateral movement) zincirleri burada test edilir. Kurumsal iç ağ testinin omurgasıdır.

Web uygulaması pentesti

En çok talep edilen türdür. Hedef, web uygulamanızın iş mantığı ve girdi işleme katmanıdır: SQL enjeksiyonu, XSS, kırık erişim kontrolü, yetkilendirme atlatma, oturum yönetimi. Metodoloji burada OWASP Web Security Testing Guide (WSTG) ile hizalanır; sistematik ve tekrarlanabilir bir kapsam sağlar.

API pentesti

Modern uygulamalar artık bir "sayfa" değil, arkadaki API'ler üzerinden çalışır. REST, GraphQL, mobil arka uçlar. API testi web testinden farklıdır: tarayıcı arayüzü olmadan, doğrudan endpoint'lerin yetkilendirmesi, nesne seviyesi yetki kontrolü (BOLA/IDOR), aşırı veri ifşası ve oran sınırlama test edilir. Ayrı bir uzmanlık ister. API katmanının nasıl test edilip korunduğunu API güvenliği test ve koruma hizmetimizde ayrıntılandırdık.

Mobil uygulama pentesti (Android ve iOS)

Mobil testte iki cephe vardır: cihazdaki istemci uygulaması (yerel depolama, sertifika sabitleme, ters mühendisliğe dayanıklılık) ve arkadaki API. Metodoloji OWASP Mobile Application Security Testing Guide (MASTG) ile yürütülür. Android ve iOS platformlarının kendine has saklama ve şifreleme davranışları ayrı ele alınır.

Bulut pentesti (AWS, Azure)

Bulutta hedef sunucu değil, yapılandırmadır. Yanlış ayarlanmış IAM rolleri, herkese açık depolama kovaları (S3 bucket), aşırı yetkili servis hesapları, açık yönetim panelleri. Bulut testi, sağlayıcının paylaşılan sorumluluk modeli içinde sizin sorumluluğunuza düşen katmanı hedefler; klasik ağ testinden bambaşka bir disiplindir.

Kablosuz (WiFi) pentesti

Kurumsal kablosuz ağların güvenliği: zayıf şifreleme, sahte erişim noktaları (rogue AP), WPA el sıkışma yakalama, misafir ağ ile kurumsal ağın ayrılıp ayrılmadığı. Fiziksel yakınlık gerektirir ve genellikle yerinde yapılır.

Sosyal mühendislik ve oltalama

En güçlü güvenlik duvarı bile, bir çalışanın sahte bir e-postaya parolasını girmesini engelleyemez. Sosyal mühendislik testi insan katmanını hedefler: hedefli oltalama (spear phishing) kampanyaları, telefonla bilgi sızdırma (vishing), sahte giriş sayfaları. Amaç çalışanı cezalandırmak değil, kurumun farkındalık ve tepki olgunluğunu ölçmektir.

Fiziksel pentest

Binaya yetkisiz giriş, kapı kartı klonlama, masaüstüne bırakılmış kilitsiz oturumlar, kablo dolaplarına erişim. Dijital güvenlik ne kadar sağlam olursa olsun, biri sunucu odasına girebiliyorsa hikaye değişir. En az talep edilen ama bazı sektörlerde kritik olan türdür.

Assumed breach: modern testin standardı

Klasik external test "içeri girebilir mi?" diye sorar. Ama gelişmiş saldırganlar zaten bir yolunu buluyorsa, bu soru tek başına yetersizdir. Assumed breach (ihlal varsayımı) yaklaşımında, saldırganın zaten bir tutamak (foothold) elde ettiğini kabul eder ve testi oradan başlatırız: bir kullanıcı makinesi, sınırlı bir hesap, küçük bir gedik.

Bu model, tüm bütçeyi dış kapıya harcamadan, gerçek hasarın nerede oluşacağını ölçer. Bir saldırgan içeri girdikten sonra ne kadar ilerleyebilir, hangi veriye ulaşır, ne kadar süre fark edilmez? Olgun kurumlar testlerini giderek bu modele kaydırıyor, çünkü "girilemez" varsayımı artık gerçekçi değil. Önemli olan, girildiğinde ne olacağı.

Hangi türü ne zaman seçmeli? Karar rehberi

  • Uyum/denetim için dış yüzeyi kanıtlamanız gerekiyor: External + black/grey box, web ve ağ kapsamı.
  • Yeni bir uygulama yayına çıkıyor: White veya grey box web + API pentesti, kaynak kod incelemesiyle birlikte.
  • İç ağınızın saldırı sonrası dayanıklılığını ölçmek istiyorsunuz: Internal + assumed breach, Active Directory odaklı.
  • Mobil uygulamanız var: MASTG hizalı mobil + arka uç API testi.
  • Buluta taşındınız: Bulut yapılandırma (configuration) odaklı test, IAM ve depolama önceliğiyle.
  • Çalışan farkındalığından emin değilsiniz: Sosyal mühendislik + oltalama kampanyası.

Tek bir doğru cevap yoktur. Çoğu olgun kurum, bunları yıllık bir plana yayar: her yıl dış web, iki yılda bir iç ağ ve assumed breach, büyük sürümlerde uygulama testi. Firma seçerken nelere dikkat edileceğini pentest yapan firmalar nasıl seçilir yazımızda ele aldık. Bölgesel hizmet için İstanbul sızma testi sayfamıza bakabilirsiniz.

Sık Sorulan Sorular (SSS)

Black box test, white box'tan daha mı güvenilir? Hayır, sadece daha gerçekçidir. Black box "dışarıdan biri ne görür?" sorusuna cevap verir ama derin kusurları kaçırabilir. White box aynı bütçeyle çoğu zaman çok daha fazla gerçek açık bulur. Hangisinin doğru olduğu, neyi kanıtlamak istediğinize bağlıdır.

İç ağ testi gerçekten gerekli mi, biz dışarı çok yatırım yaptık? Evet, hatta çoğu firma için en kritik eksik budur. Gerçek ihlallerin çoğunda saldırgan ilk adımda zaten içeridedir. Dış duvarınız ne kadar yüksek olursa olsun, iç ağınız düz ve korumasızsa ilk gedikten sonra her şey açığa çıkar.

API testi web testinin içinde değil mi? Hayır, ayrı bir disiplindir. API'lerin tarayıcı arayüzü yoktur; yetkilendirme, nesne seviyesi erişim kontrolü ve veri ifşası farklı yöntemlerle test edilir. Web testi yapıldı diye API katmanının test edildiğini varsaymak yaygın ve tehlikeli bir hatadır.

Assumed breach testi, başarısız olduğumuzu mu kabul etmek demek? Hayır, tam tersine olgunluk işaretidir. Modern güvenlik, "hiç girilmez" yerine "girildiğinde ne olur ve ne kadar hızlı fark ederiz" sorusuna odaklanır. Bu test, gerçek hasar yarıçapını ölçerek savunmanızı oraya yöneltmenizi sağlar.

Tüm türleri tek seferde yaptırmalı mıyız? Genellikle hayır. Çoğu kurum için en verimli yol, türleri risk önceliğine göre yıllık bir plana yaymaktır. Önce en yüksek riskli yüzey (genellikle dış web ve iç ağ), sonra büyük sürümlerde uygulama ve API testleri.

Kaynaklar

DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik ve sızma testi hizmeti veriyor. Hangi türde ve hangi kapsamda teste ihtiyacınız olduğundan emin değilseniz, önce "neyi kanıtlamak istiyorsunuz?" sorusuyla başlayalım. Doğru kapsamı birlikte belirleyelim. Telefon: +90 536 662 38 09