Sızma Testi / Penetrasyon Testi Nedir?
Sızma Testi / Penetrasyon Testi, şirketinizin bilişim sisteminin hacker saldırılarına karşı ne kadar korunduğunu kontrol etmeyi sağlayan testlerdir. İç ve dış ağ sistemleri, veri tabanları, web ve mobil uygulamalarının daha güvenilir hale getirilmesi için yasal ve yetkili kişilerce yapılan testlerdir. Sızma testi / penetrasyon testi, sisteme yönelik potansiyel tehditlerin bir bütün olarak etkisiz hale getirilmesine yardımcı olabilir.
Sızma testi / penetrasyon testi ile gerçek bilgisayar korsanlarının eylemlerini simüle ederek web sitenizdeki güvenlik açıklarını, kurumsal altyapınızı, mobil uygulamalarınızı ve diğer tüm BT sistemleri test edilir. Sistemin izinsiz girişlere karşı savunmasız olan alanlarını tanımlamak, yetkisiz ve kötü niyetli kullanıcılardan veya kuruluşlara karşı güvenlik tedbirleri almak için kullanılır.
Sızma Testi (Pentest) / Penetrasyon Testi nasıl yapılır?
İlk önce testin hedeflerini ve şeklini belirlemeniz gerekir. Farklı seviyelerde sızma testleri / penetrasyon testleri mevcuttur. Bunun için belirlenmiş üç kabul gören yöntem vardır:
Siyah Kutu (Black Box), yalnızca şirket adı, web sitesi adresi veya kullanılan IP adresleri gibi giriş noktasını bilinmesi gereken şekilde,
Gri Kutu (Gray Box), bazı yazılım sürüm bilgileri ve farklı hesap bilgileri gibi ek bilgiler ve belgeler talep edilen mimarinin bir açıklaması istenilen şekilde,
Beyaz Kutu (White Box), sistemin tam bir açıklamasını, içeren bilgilerin istendiği durumlardır.
Zafiyet taraması için davetsiz misafirlerin türü (müşteriler, çalışanlar veya diğer üçüncü kişiler) belirlemek potansiyel saldırganların rollerini öğrenme konusunda çok önemlidir.
Sızma testleri / penetrasyon testleri genel olarak, 2-3 hafta sürebilir, bu süre zarfında ara sonuçlar verilir ve sonuçlara dayanarak önerileri içeren ayrıntılı bir rapor (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001 standartlarına uygun) size hazırlanır. Güvenlik açıkları testi yaptıranlar tarafından giderildikten sonra tekrar kontroller yapılır. (Doğrulama testi)
Neden Sızma Testi / Penetrasyon Testi Yaptırmalıyız?
BT altyapısında Güvenlik seviyesini belirleyen birçok ayarlamalar mevcuttur. Siz ne kadar da tüm güvenlik kurallarını yerine getirdiğinizi düşünseniz dahi saldırganların sisteminize zarar vermek için kullanacakları yöntemlerin sonu yoktur.
Gözünüzden kaçabilecek ya da hackerların (yetkisiz ve kötü niyetli kişilerin) yeni tekniklerine karşı ileride daha büyük sorunların ortaya çıkmasına meydan vermemek için sisteminizi Siber Yazılım uzmanlarına test ettirmekte fayda vardır.
Sızma testi / Penetrasyon testi, aşağıdaki ana türlere ayrılabilen farklı hedeflere sahip olabilir:
Güvenlik analizi: mümkün olduğunca çok güvenlik açığı ararken, kritik bir güvenlik açığı algılandığında test durmadan devam eder.
Sızma testi: bazı gizli bilgileri elde etme ve şifreleri kırma, arka plan çalma veya belirlenmiş başka bir hedefe ulaşma girişimi.
Takım: minimum kısıtlamalarla sisteme gizlice girmeye yönelik uzun girişim denemeleri yapılır. Buna kimlik avı, ofise fiziksel olarak sızma girişimleri ve müşterinin çalışanlarının izlenmesi ve alınan tedbirlerin kontrolü de dahil olabilir.
Sızma Testi Süreçleri / Penetrasyon Testi Süreçleri şunları içerir:
- Pasif bilgi toplama;
- Port tarama;
- Ağ ekipmanı türleri ve tanımı;
- Ağ altyapısında kullanılan işletim sistemi türlerinin belirlenmesi;
- Ağ altyapısında bitişik çevre birimlerinin türleri;
- Özel cihaz türlerinin ve kombinasyonlarının tanımlanması;
- Alınan bilgilerin toplanması ve analizi;
- “Giriş noktalarının” tanımı;
- Saldırı vektörlerinin tanımı;
- Sızmaya teşebbüs;
- Güvenlik açıklarının tespiti;
- Alınan vektörlerin doğrulanması;
- Kritik güvenlik açıkları için çözüm önerileri;
- Rapor (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun) yazımı.
Sızma testi / Penetrasyon testi çok çeşitli özel programlar ve uygulamalar (şifre seçimi, IP ağ bağlantı noktası güvenlik açıklarını arama, kötü amaçlı yazılım algılama) kullanılarak gerçekleştirilir ve çok sayıda kontrol noktasını kapsar. En yaygın olanları şunlardır:
- Bilgi toplama (açık kaynaklarda müşteri verilerini tarama, çalışanların onaylarına ilişkin verileri toplama)
- Teknik alt yapının incelenmesi (mevcut kaynaklar, işletim sistemleri, yazılım ve uygulamalar hakkındaki verilerin tanımlanması ve toplanması)
- Güvenlik açığı ve tehdit analizi (özel programlar ve yardımcı programlar kullanarak güvenlik sistemleri, uygulamalar ve yazılımlardaki güvenlik açıklarının tespiti)
- Verilerin çekilmesi ve işlenmesi (bu aşamada, bir saldırganın gerçek bir saldırısı, sonraki analiz amacıyla mevcut güvenlik açıkları ve ayrıca sistemin hacklenmesi ve ekonomik risklerin hesaplanması tarihlerinde veri toplanması amacıyla bilgi almak için simüle edilir)
- Rapor oluşturma (alınan bilgileri işleme aşaması, mevcut güvenlik açıklarını ortadan kaldırmak için öneriler ve talimatlar hazırlama) (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporlama)
Sızma Testi / Penetrasyon Testi Yaptırdıktan Sonra?
Sonuçlar ve raporlar (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporu) size sunulduktan sonra açıkları bir an önce kapatarak bir sonraki sızma testi / penetrasyon testi zayıf ve güvensiz yerleri tanımlamak ve güvenliği artırmak için yeni zamanlama yapılmalıdır. Bu zamanlama ile doğrulama testi gerçekleştirilmiş olur.
Neden Secromix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Ücretsiz Pandemi Dönemine Özel Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.