Dünyada iki tür şirket vardır: saldırıya uğradıklarını bilenler ve bilmeyenler. Bu yazıda, bir siber suçlu kurbanı olmaktan nasıl kaçınacağınızı anlatacağız.
Sitelerin %70’i, kaynakların tehlikeye girmesine ve veri sızıntısına yol açabilecek yüksek riskli güvenlik açıklarına sahiptir.
Bu çalışmaların uygulanması, bir web uygulamasının güvenlik düzeyini artırmak için yeterli ve kapsamlı bir önlem programı geliştirmemize olanak tanır. Bu da operasyonel, finansal ve itibar risklerinin kabul edilebilir bir düzeye indirilmesine yol açar. Basit bir ifadeyle, güvenlik konusunda gerçekten ciddiyseniz, sitenizin internete açılması ve işleyişi için son mantıklı adımdır.
Sızma testi (kısaltılmış hali ile pentest), araştırılan kaynağın mevcut bilgi güvenliği seviyesinin kesinlikle nesnel bir değerlendirmesini elde etmek için bir bilgisayar korsanının bir sitedeki eylemlerini modelleme işlemidir.
Sızma testi neden yapılır?
Penetrasyon testi öncelikle aşağıdaki görevleri çözer:
- Müşteri tarafından uygulanan bilgi güvenliği önlemlerindeki eksikliklerin belirlenmesi ve ihlal eden tarafından kullanım olasılıklarının değerlendirilmesi,
- Güvenlik açıklarından yararlanma olasılığının pratik gösterimi (en kritik örnekler üzerinde),
- Nesnel kanıtlara dayalı olarak bir web uygulamasının mevcut güvenlik seviyesinin kapsamlı bir değerlendirmesini elde etmek,
- Bir web uygulamasının güvenlik düzeyini artırmak için belirlenen güvenlik açıklarını ve eksiklikleri ortadan kaldırmak için önerilerin geliştirilmesi.
Testler daha önceki yazılarda açıklandığı gibi beyaz kutu, gri kutu ve siyah kutu şeklinde yapılır.
Çoğu durumda, kara kutu yöntemi kullanılarak test yapılır.
Bu yöntemle, şu davetsiz misafir modeli kullanılır: İnternet üzerinde hareket eden, hiçbir ayrıcalığı olmayan ve araştırılan kaynak hakkında hiçbir veriye sahip olmayan, yüksek nitelikli bir harici saldırgan (beceri seviyesi – bir bilgisayar korsanı) bir web uygulamasına yetkisiz erişim sağlaması. Saldırganın sahip olduğu tek bilgi site adresidir.
Sızma testi, aşağıdakiler gibi genel kabul görmüş bilgi güvenliği standartları ve yönergelerini kullanır:
- OWASP Test Kılavuzu
- OWASP İlk 10
- Web Uygulaması Güvenlik Konsorsiyumu Tehdidi (WASC) Sınıflandırması
- ISO 17799/27000 serisi standartları
Çalışma mantıksal olarak aşağıdaki aşamalara ayrılabilir:
1. Bilgilerin toplanması ve analizi,
2. Güvenlik açıklarının belirlenmesi,
3. Bir web uygulamasına saldırı uygulanması,
4. Analiz ve raporlama,
5. Güvenlik açıklarının ortadan kaldırılması.
Günümüzde sızma / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin olmazsa olmaz bir parçasıdır. SecroMix olarak bilgi güvenliği sürecinize destek sağlamak riskleri en aza indirmek için ayrıntılı öneriler ve kuruluşlara özel planlar hazırlıyoruz.