Sızma testi ya da Pentest; bir hacker gözüyle sistemlerin güvenliğini taramak, zafiyetleri mümkünse sömürerek tespit etmek ve tüm bulguları bir sonuç raporuyla sunmak, kurum tarafından zafiyetler kapatınca bunu doğrulamasını yapmak üzerine kuruludur.
Hem bir TSE-A Sertifikalı, hem de Endüstriyel Kontrol Sistemlerde EPDK yetkili bir sızma Testi firması olan Bilishim Güvenlik ailesi olarak sürekli sahadayız.
Her ne kadar sızma testi temelde teknik bir çalışma olsa da, her bir sızma testi özünde kendine özgü bir hikâye barındırmaktadır.
Hazırladığımız “Pentest Günlükleri” isimli bu çalışma, bizim sahada deneyimlediğimiz ve her biri kendine ait dersleri barındıran bir ekip olarak her bir testte ayrı bir heyecan yaşıyoruz ve bu heyecanın hikayelerini
sizlerle paylaşmak istedik.
… ..
Sızma Nedir?
Kısaca PenTest olarak biline sızma Testi veya Penetrasyon Testi temel olarak bir bilişim sisteminin tüm yapı taşlarının olası siber saldırılara karşı, taranması, analiz edilmesi, sızılması ve sıkılaştırılmasını kapsayan ileri mühendislik isteyen özel bir test sürecidir.
Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan sızma testinin uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Sızma Testi Neden Önemlidir?
PenTest’in nihai amacı, bir saldırgan gözüyle sistem altyapınızın ne kadar güvende olduğunu ortaya koymak ve açıklık bulunan noktaları kapatmaktır. Bir kuruluşun güvenlik duruşundaki zayıf noktaları tespit etmenin yanı sıra , güvenlik politikasının uygunluğunu ölçmek, personelin güvenlik sorunları konusundaki farkındalığını test etmek ve kuruluşun siber güvenlik prensiplerini uygulama derecesini belirlemektir. Unutulmaması gereken en temel husus, tüm sistemlerin saldırıya karşı hassas olduğudur.
Hiçbir sistem 100% güvende değildir. Bu nedenlerden dolayı kuruluşların sistemlerini düzenli olarak PenTest yaptırması ve işletim sistemi ile uygulamalara PenTest yaptırması ve işletim sistemi ile uygulamalara zamanında güvenlik yamalarını geçmesi çok önemlidir.
Penetrasyon Testleri temelde üç aşamaya ayrılır:
Siyah Kutu: Bu yöntemde pentest gerçekleştirilecek kurumdan herhangi bir bilgi talebinde bulunulmaz, yapılan çalışmalar ile tamamı ile manuel gerçekleştirilen yöntemler sayesinde kurumun internete açık olan veya olmayan ara yüzlerinden sisteme sızılması çalışması gerçekleştirilir. Bu sayede kurumun dışarıdan alabileceği tehditlerin genel analizi ve vektörleri çıkarışmış olur.
Kara Kutusu yöntemi, dışardan gelen gerçek bir saldırı senaryosuna en yakın test yöntemidir. En büyük amaç hedef sistemde veri tabanına sızmaktır.
Gri Kutu: Gerçekleştirilen bu test sayesinde kurumun içerisinde herhangi bir misafir gibi gelinerek sistemin boşluklarından faydalanıp sistemin tehlike yüzeyi analiz edilir. Bu sayede saldırganın kurumun içerisinden mevcut sisteme geçişi, veri tabanlarına erişimi, uygulamalar üzerinden ki hâkimiyetine kadar pek çok süreç bu test sayesinde ele alınır.
Gri Kutu yöntemi, fiiziksel olarak kurum içine girebilen bir hacker tarafından yapılavcak saldırının ne oranda başarılı olabileceğini ortaya koyar. En büyük amaç sınırlı bir yetkiyle olsa dahi tüm sistemi ele geçirmektir.
Beyaz Kutu: Güvenlik uzmanı, bu test ile birlikte testin yapıldığı kurumdan standart bir kullanıcıya ait bir tanımlama ister ve bu sayede uzan standart bir kullanıcı olarak sistem üzerinde haklarını eritip artrımadığı, veri tabanlarına ve diğer tüm bilişim alt yapısı üzerinde ki hâkimiyeti kontrol edilir. Bu testler esnasında çeşitli araçlar kullanıldığı gibi sistemin saldırganı yakalamaması için gerekli tekniklerin de içinde bulunduğu özel manuel yöntemler kullanılır.
… ..
… ..
*Pentest Günlükleri & Yılmaz Değirmenci
Baskı: Hermes Tanıtım Ofset
1.Baskı: Ağustos 2022
Hiç yorum yok:
Yorum Gönder