Harici, Dahili Penetrasyon (Sızma) Testi

Pentest (Sızma Testi) ve Pentester (Sızma Testi Uzmanı)

Penetrasyon / Sızma testi, gerçek saldırganların etik hackerlar tarafından gerçekleştirilen eylemlerinin simülasyonudur. Terim genellikle kısaltılarak pentest şeklinde kullanılır. Bu hizmetleri gerçekleştiren uzmanlara pentester (Sızma Testi Uzmanı) denir. Sızma testinin bir parçası olarak, bilgi güvenliği uzmanları belirli bir şirketin sistemlerindeki güvenlik açıklarını, zafiyetleri arar ve yerleşik koruma araçlarını atlatarak saldırılar gerçekleştirmeye çalışır.

Harici ağlardan (örneğin Internetten) test yapıldığında, sızma testi harici olarak adlandırılır. Saldırılar, şirket içinde bulunan bir davetsiz misafir tarafından simüle ediliyorsa (örneğin, tipik bir çalışan ayrıcalıklarına sahip veya rastgele bir ziyaretçi adına), bu durumda sızma testi genellikle dahili olarak adlandırılır.

Son zamanlarda, şirketler hem harici hem de dahili testlerim yapılışı payında artış eğilimi olduğu görülmektedir. Aynı zamanda, dahili bir sızma testi, harici bir testin devamı da olabilir: bu yaklaşım, bir saldırganın yerel ağa sızma olasılığının yanı sıra şirketin altyapısında gelişen bir saldırının sonuçlarını da değerlendirmeye olanak tanır.

 

 2019’da gerçekleştirilen sızma testi türleri

Bir sızma testi uzmanın potansiyel bir saldırganla aynı eğitim seviyesine ve aynı araçları kullanma kabiliyetlerine sahip olması gerektiğine inanılır. Bundan şöyle bir mantıksal sonuç çıkar: Pentesterin yeterlilik seviyesi ne kadar yüksekse, profesyonel bir bilgisayar korsanının eylemlerini o kadar iyi simüle edebilir ve buna göre işi o kadar iyi olur.

Şunu belirtmek de önemlidir: siber suçluların aksine, bir pentester kesinlikle yasa çerçevesinde ve yalnızca sistem sahibiyle anlaşarak hareket edebilir. Saldırıya uğrayan düğümlerin listesi ve yapılan kontroller, test edilen şirketin sorumlu temsilcisi ile mutabık kalınarak yapılır.

Neden Penetrasyon / Sızma Testi yapılıyor?

Sızma testinin amacı, kullanılan güvenlik sistemlerinin etkinliğini ve şirketin bilgi altyapısının bir bütün olarak siber saldırılara hazır olup olmadığını değerlendirmektir. Sızma testinin bir parçası olarak, yönetimin yapılan iş hakkında bilgilendirilmemesi durumunda şirketin bilgi güvenliği hizmetlerinin saldırıları tespit etme ve bastırmadaki etkinliğini değerlendirmek de mümkündür.

Sızma testinin güvenlik açıklarını belirlemeyi amaçladığını düşünmek yanlıştır; asıl görev bu değildir. Bilgisayar korsanları güvenlik açıklarını ararlar ancak bunları yalnızca pentestin hedeflerine ulaşmak için kullanırlar. Örneğin, harici bir penetrasyon testi durumunda, görev genellikle kuruluşun yerel ağına girmenin maksimum yollarını bulmaktır; dahili bir durum söz konusu olduğunda, bir saldırganın elde edebileceği maksimum olası ayrıcalık düzeyi belirlemektir. Sızma testi müşterileri ek olarak başka görevler de belirleyebilir (örneğin, belirli iş sistemlerine erişim kazanma yeteneğini göstermek gibi).

Sızma Testlerini kimler sipariş ediyor?

Sızma Testi, faaliyet alanı ne olursa olsun herhangi bir kuruluş için bilgi güvenliğinin test edilmesi noktasında olmazsa olmazlar arasına girmiştir. Bununla birlikte, kuruluş zaten altyapının kapsamlı güvenliğini sağladığında, siber saldırılardan korunduğunda ve güvenlik önlemleri tam olarak uygulandığında çalışma yapılmalıdır. Bu, bir organizasyondaki bilgi güvenliği süreçlerinin olgunluk seviyesinin yeterince yüksek olması gerektiği anlamına gelir. Yeterince karmaşık bir sistemi etkinliğini doğrulamadan güvence altına almak zor olduğundan, dağınık altyapıya sahip büyük şirketler için sızma testi yapmak özellikle önemlidir.

Test edilen şirketlerin sektöre göre dağılımı

Her saldırı intranet sızmasına yol açmaz, ancak bir saldırgan diğer kritik kaynaklara erişebilir veya iş sistemlerini bozabilir. Aşağıdaki şema, tüm başarılı saldırıların kategoriye göre dağılımını göstermektedir. Bunların en büyük kısmı, kimlik bilgilerine yönelik ve web uygulamalarındaki güvenlik açıklarından yararlanmayı hedefleyen saldırılar olduğunu görüyoruz.

Başarılı Sızma Testleri

Başarılı saldırılar

Dahili ve harici sızma testlerinin yanında Red team (Kırmızı Takım) uygulamalarının da 2020 yılı itibari ile revaçta olduğu görülmektedir.