Beyaz Kutu

Test edilecek sistem hakkında bütün gerekli bilgilerin denetçiye verildiği modeldir. Hem iç hem de dış sistemlerin tüm zayıf noktalarını araştırmanın etkili bir yoludur..

---

Siyah Kutu

Sistem hakkında denetçiye şirketin adından başka hiç bir bilginin verilmediği model. Bu modelde rakiplerinizin sizin hakkınızda ne kadar bilgi bulabildiğini test etmiş olursunuz.

---

Gri Kutu

Organizasyonda halen çalışmakta olan veya işten atılmış bir personelin ya da şirketle bir şekilde bilgi alışverişi halinde bulunan bir bayi veya müşterinin bileceği kadar bilgiyle sisteme ne düzeyde zarar verebileceğinin test edilmesidir. Genellikle iç ip adresleri ve kısmi yetkilere sahip bir kullanıcının şifrelerinin verilmesiyle yapılır.

Dış ve Yerel (İç) Ağ Güvenlik Denetim Hizmeti Amaçları

• Olası güvenlik açıklarını belirlemek.
• Gerçek, istismar edilebilir güvenlik açıklarını belirlemek.
• Güvenlik açıklarından yararlanma ve mevcut kaynaklara yönelik bir saldırının geliştirilmesi, mümkün olan en yüksek erişimi elde etmek.
• Bilgi güvenliği olaylarına yanıt vermek için prosedürleri kontrol etmek.

• Firma/Kurum sistemlerine yerel ağdan gelebilecek zafiyet senaryoları canlandırılır.
• Fiziksel ve yerel ağ erişimi üzerinden senaryolar canlandırılır.
• Yetkisiz bir Kurum çalışanının kötü niyetli olması durumunda sistemlere ne gibi zararlar verebileceği canlandırılır.
• Listelenen tüm sistemlere yönelik kapsamlı bir zafiyet testi girişimlerinde bulunulur.

• Firma/Kurum tarafından dış dünyaya hizmet verilen servislere yönelik DOS/DDOS saldırıları gerçekleştirilir.
• Hizmetin bant genişliği müşteri tarafından seçilmektedir.
• DDOS koruma sisteminin doğru bir şekilde yapılandırıldığı test edilir.
• DDOS testi için yaygın olarak kullanılan yöntemler kullanılmaktadır.
• Firma/Kurum tarafından talep edilmesi durumunda ayrıca farklı senaryolar da gerçekleştirilmektedir.

VOIP testlerinde Kurum sistemlerine yönelik zafiyet testleri gerçekleştirilir. İletişim düzeyinde kullanılan şifreleme algoritmaları, yetkisiz çağrı girişimleri, yetkisiz yönlendirme, yetkisiz sonlandırma, kayıtlara erişme, kayıtları değiştirme, kayıtları silme, görüşmeleri denetleme, görüşme içeriklerini yetkisiz elde etme ve iletişim izlenebilmesi gibi senaryolar test edilir.