Pentest Sızma Testi Nedir, Penetrasyon Testi
  • Pentest Sızma Testi Nedir, Penetrasyon Testi

Pentest (Penetrasyon) Sızma Testi Nedir

Pentest diğer adıyla Penetrasyon testi (sızma testi);  Bilişim sistemlerindeki zafiyetler, açıklıklar ve mantıksal hatalar belirlenerek, bahse konu açıklıkların ve zafiyetlerin kötü niyetli şahıslar tarafından kötüye kullanılmasını engellemek ve bilişim sistemlerini daha güvenli bir duruma getirmek amacıyla yapılan testlerdir.

Sızma Testinin Amaçları
Sızma testinin ana amacı; kurumun güvenlik açıklıklarını ve güvenlik sorunlarını açıkça tanımlamaktır. Ayrıca, güvenlik politikalarının doğruluğunun test edilmesi, güvenlik konusunda personelin farkındalığının arttırılması ve bir kuruluşun güvenlik ihlaliyle karşılaşıp karşılaşmayacağını ve nasıl karşılaşabileceğinin kontrol edilmesi de amaçlanmaktadır.

Sızma Testi Zorunluluğu
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte (Pentest) Sızma Testi Zorunluluğu ortaya çıkmıştır. Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’nde veri sorumluların alması gereken idari ve teknik tedbirler olması gerektiği hususu belirtilmektedir. Teknik Tedbirler kapsamında da KVKK Sızma Testi de alınabilecek önlemler kapsamındadır.

Sızma Testi Metodolojisi ve Aşamaları Nedir, Nasıl Yapılır
Sızma testlerinin uygulama standardı yedi ana bölümden oluşmaktadır. Bu aşamalar, bir penetrasyon testiyle alakalı her şeyi kapsamaktadır.  Sızma testi metodolojisi, aşamaları nedir, nasıl yapılır;
  • Pre-engagement Interactions (Katılım Öncesi Etkileşimler):Penetrasyon testinin başarılı katılım öncesi adımlarına yardımcı olacak mevcut teknikleri ve araçları açıklamak ve sunmaktır. Bu bölüm pentest başlamadan cevaplanması gereken önemli soruları kapsamaktadır.
  • Intelligence Gathering (İstihbarat/Bilgi Toplama):Zafiyet değerlendirmesi ve istismar aşamaları sırasında hedefe nüfuz ederken kullanılacak, mümkün olduğunca fazla bilgi toplamak için bir hedefe karşı keşif yapma işlemidir.
  • Threat Modeling (Tehdit Modellemesi):Sızma testinin doğru şekilde yürütülebilmesi için gerekli olan tehdit modelleme yaklaşımını tanımlamaktadır. Standart belirli bir modelin yerine, kullanılan modelin tehditlerin temsili, yetenekleri, test edilen kuruma göre nitelikleri ve müteakip testlere tekrar uygulanabilmesi açısından tutarlılığını gerektirmektedir.
  • Vulnerability Analysis (Zafiyet Analizi):Saldırgan tarafından sistem ve uygulamalardaki güvenlik açıklıklarını keşfetme işlemidir. Bu açıklıklar ana bilgisayarın ve hizmetin yanlış yapılandırılması ya da güvenli olmayan uygulama tasarımından kaynaklanabilmektedir.
  • Exploitation (İstismar Etme):Yalnızca güvenlik sıkılaştırmalarını atlatarak bir kaynağa veya sisteme erişim sağlamaya odaklanmaktır. Bu aşamayı yapabilmek için zafiyet analizi düzgün bir şekilde yapılmalıdır. Bu işlemin amacı sistemin ana giriş noktalarını ve önemli hedef olabilecek varlıklarını tanımlamaktır.
  • Post Exploitation (İstismarın Sonrası):Tehlikeye atılan bilgisayarın değerini belirlemek ve sonra kullanmak üzere sistemin kontrolünü sağlamaktır. Bilgisayarın değeri, üzerinde depolanan verilerin önemi ve ağın daha fazla tehlikeye atılmasında bilgisayarların kullanışlılığıyla belirlenir.
  • Raporlama (Reporting): Penetrasyon testi raporlaması için temel kıstasları tanımlamayı amaçlamaktadır. Raporlamada kritik açıklık seviyeleri yüksek ve düşük olacak şekilde belirtilmelidir.
 
Pentest Nasıl Yapılır, Pentest Çeşitleri
  • White Box Pentesting: Bu testte test yapacak kişiye sistemin ağ yapısı, kaynak kodu ve IP bilgileri de dâhil olmak üzere, test edilecek altyapı hakkında tüm bilgi verilir.
  • Black Box Pentesting: Test edilecek sistem hakkında hiçbir bilgi verilmeden teste başlanır.
  • Gray Box Pentesting:Bu yöntem bilgi sistemi hakkında sınırlı miktarda bilgiyle sisteme girmeye çalışmaktan ibarettir. Bir kullanıcıyı veya şirketin bazı bilgilerine erişimi olan bir çalışanı taklit ederek bir sistemin güvenlik açıklarını kontrol etmeyi mümkün kılmaktadır.

(Pentest) Sızma Testi Çeşitleri
  • Sosyal Mühendislik Testleri
  • Web Uygulama Testleri
  • Fiziksel Sızma Testleri
  • Ağ Hizmetleri Testleri
  • İstemci Tarafı Testi
  • Kablosuz Güvenlik Testi

Yorum Yap


Lütfen değerli yorumunuzu bizimle paylaşın.