Sızma testi, çeşitli sistem problemlerini ve testlerini dikkate alan yöntemlerin bir kombinasyonudur. Test ile analiz yapılır ve çeşitli çözümler sunulur. Sızma testi / Penetrasyon testinde yedi aşama vardır.
- Planlama ve hazırlık
Planlama ve hazırlık penetrasyon testinin amaç ve hedeflerini tanımlamakla başlar. Müşteri ve test yapan firma müştereken hedefleri tanımlar, böylece bilgi toplama işlemi başlar. Sızma testinin genel amaçları şunlardır:
- Güvenlik açıklarını belirlemek ve teknik sistemlerin güvenliğini artırmak
- Dışarıdan gelen tehditlere karşı BT güvenliğini sağlamak
- Organizasyon / personel altyapı güvenliğini artırmak
- Araştırma
Araştırma, ön bilgilerin analizini içerir. Çoğu zaman ön bilgi, bir IP adresi veya bir IP adresi bloğu dışında çok fazla bilgi içermez. Test cihazı, mevcut bilgilerin analizi ve gerekirse, sistem açıklamaları, ağ planları, vb. gibi ek bilgiler için kullanıcıdan talepler ile başlar. Bu adım, bir tür pasif penetrasyon testidir. Tek hedef sistemler hakkında tam ve ayrıntılı bilgi elde etmektir.
- Keşif
Bu noktada, penetrasyon/sızma testi test cihazının, güvenlik açıklarını tespit etmesi için hedef varlıkları taramak ve otomatik araçlar kullanması muhtemeldir. Bu araçların genellikle en son güvenlik açıkları hakkında bilgi sağlayan kendi veri tabanları vardır. Bu adımda ağ bulma (örneğin ek sistemler, sunucular ve diğer aygıtları açma), ana bilgisayar bulma (aygıtlardaki açık bağlantı noktalarını tanımla), hizmet sorguları (bağlantı noktaları, üzerinde çalışan gerçek hizmetleri keşfetmek) yapılır.
- Bilgi ve Risk Analizi
Bu aşamada penetrasyon/sızma testi için test aşamalarından önce toplanan bilgileri analiz edilir ve değerlendirilir. Sistem ve altyapının büyüklüğüne bağlı olarak, bu çok zaman alabilir. Şu unsurlar dikkate alınır:
- Sızma testinin özel amaçları.
- Sistem için potansiyel riskler.
- Sonraki aktif penetrasyon testi için potansiyel güvenlik kusurlarını değerlendirmek için gereken tahmini süre.
- Tanımlanan sistemler listesinden test cihazı yalnızca potansiyel güvenlik açıkları içerenleri test etmeyi seçebilir.
- Aktif saldırı girişimleri
Dikkatle takip edilmesi gereken en önemli adımdır. Bu adım, keşif aşamasında görülen potansiyel güvenlik açıklarının gerçek riskleri ne ölçüde ortaya çıkardığını içerir. Bu adım, olası güvenlik açıklarının kontrol edilmesi gerektiğinde sızma teşebbüsü gerçekleştirilmelidir.
- Özet analiz
Bu adım öncelikle bu zamana kadar atılan tüm adımları ve potansiyel riskler olarak mevcut olan güvenlik açıklarının değerlendirilmesini dikkate almaktadır. Kritik güvenlik açıkları için çözüm önerileri ve test cihazı güvenlik açıklarının ve risklerin ortadan kaldırılmasını önerir.
- Rapor hazırlama
Sızma testi / Penetrasyon testi KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun rapor hazırlama genel test prosedürleriyle başlamalı ve ardından güvenlik açıklarını ve riskleri analiz etmelidir. Yüksek risklere ve kritik güvenlik açıklarına öncelik verilmeli ve ardından daha düşük seviyede açıklarla ilgili bilgi verilmelidir.
Ancak, nihai raporu belgelendirirken aşağıdaki hususlar dikkate alınmalıdır:
- Sızma testlerine genel bakış.
- Her adımın ayrıntıları ve kalem doğrulaması sırasında toplanan bilgiler.
- Tespit edilen tüm güvenlik açıkları ve riskler hakkında ayrıntılı bilgi.
- Temizleme ve sabitleme sistemlerinin detayları.
- Gelecekteki güvenlik önerileri.
Sızma Testi bilgi güvenliği süreçlerinin mevcut durumunun etkili bir şekilde değerlendirilmesini sağlayan bir dizi önlemdir. Bilgi güvenliğini sağlama süreçlerinde eksikliklerin araştırılması ve kullanılması, güvenlik açığı yönetimi, konfigürasyon yönetimi, olay yönetimi, web uygulaması güvenlik yönetimi, VTYS, kablolu ve kablosuz ağlara test yapılması işlemidir.
Neden SecroMix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri/pentest/penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, CoSoSys DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.