PENETRASYON TESTİ NEDİR?
Kötü amaçlı bir saldırganın/saldırının içeriden ya da dışarıdan sistemlere verebileceği zararı önceden görebilmek, zayıflıklar için tedbir alabilmek ve en önemlisi de güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için penetrasyon testi yapılır. Kısaca pentest denir. Bunun bir diğer ismi de sızma testi olarak karşımıza çıkar. Sızma testini gerçekleştiren siber güvenlikçiler adeta bir hacker gibi düşünüp onun yapabileceği, öngörebileceği her şeyi önceden tasarlayıp ve planlayıp saldırgandan önce gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının onarılmış ve güvenliği sıkılaştırılmış olmasını sağlamasıdır. Böylelikle saldırının önüne geçilmesi ile birlikte veri kayıplarının önüne geçilmiş olunur.En yaygın sistem güvenlik açıkları şunlar gibidir;
- Eski uygulamalar veya işletim sistemleri,
- Yeni ve mevcut yazılım güvenlik açıkları,
- Donanımla ilgili bilinen ve bilinmeyen hatalar,
- Zayıf siber güvenlik yanıt protokolleri,
- Düşük siber güvenlik kullanıcı farkındalığı.
- BlackBox Pentest (Siyah Kutu Penetrasyon Testi): Siyah kutu penetrasyon testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan networke ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır. Bu, pentest yapanlar için en zorlu varyasyondur. Testi yapanlar sistem hakkında hiçbir bilgiye sahip olmaz ve tıpkı gerçek bir siber saldırganların yapacağı gibi, tamamen yabancı olarak sistemi ihlal etmeye çalışır.
- WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi); Beyaz kutu penetrasyon testi networkteki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden networke girmeye ve zarar vermeye çalışmasının saldırı simülasyonudur. Beyaz kutu testi, bir sistemin iç yapısını, tasarımını ve kodunu inceler ve testi yapanlara hedef ağ hakkında ayrıntılı bilgi verilir. Mevcut güvenlik protokollerinden ve ağ altyapısından, bilinen mevcut güvenlik açıklarına ve sistemin eğilimli olduğu yanlış yapılandırmalara kadar her şeye erişebilir. Her iki taraf da simüle edilmiş saldırının farkında ve birbirine paralel olarak çalışır. Bir taraf sızmaya ve diğeri savunmaya çalışır. Bu tür bir çalışma, çalışanların kendi eylemlerini gerçek zamanlı olarak bilgisayar korsanlarının gözünden görmeleri için harika bir yoldur.
- GreyBox Pentest (Gri Kutu Penetrasyon Testi); Gri kutu penetrasyon testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türüdür.
- Web Uygulama Sızma Testi,
- Network Sızma Testi,
- Mobil Sızma Testi,
- DOS/DDoS Sızma Testi,
- Wireless Sızma Testi,
- Sosyal Mühendislik Sızma Testi.
- Alan Belirleme,
- Planlama/Bilgi Toplama,
- Uygulama,
- Koruma,
- Raporlama.