SIZMA TESTİ HAKKINDA BİLMENİZ GEREKENLER

Sızma Testi nedir ?

Sızma testi, kurumların bilgi teknolojilerini oluşturan altyapı, yazılım, donanım ve uygulama gibi bileşenlerine  bir saldırganın (hacker) kullanması muhtemel araç ve teknikler ile yetkili kişiler tarafından yasal olarak sızılması ve elde edilen zaafiyet sonuçlarının raporlanmasıdır.

Sızma testlerinin genel amacı,

* Güvenlik açıklarını belirlemek ve teknik sistemlerin güvenliğini artırmak

* Dışarıdan gelen tehditlere karşı BT güvenliğini sağlamak

* Organizasyon / personel altyapı güvenliğini artırmaktır.

Sızma Testi Süreci Nasıl İşler ?

1. Sızma Testi Başlangıç Toplantısı : Sızma testi yapılacak kurum ve sızma testi yapacak firma ile  ilk toplantıda gizlilik sözleşmesi imzalanır ve yapılacak olan testin içeriği netleştirilir. Bu toplantıda amaç kapsamı belirlemek, gizliliği vurgulamak ve test edilecek sistemlerle ilgili ön bilgi almaktır.

2. Penetrasyon Testinin Gerçekleşmesi : Sızma Testinin gerçekleştirilmesi işlemleri kurumun istekleri doğrultusunda uzaktan ve/veya yerinde gerçekleştirilir.

3. Kurumdan Gelen Geri Dönüşlerin Dikkate Alınması : Hizmetin alımı sırasında daima kurum ile irtibatta kalınarak sistemin işleyişi esas alınır.

4. Çözümleme ve Rapor İşlemleri : Test sonucu ortaya çıkan büyük veriler kolere edilmek üzere çözümleme aşamasına geçilir.

5. Sonuçların Paylaşımı : Takip eden süreçte raporlar hazırlanır ve kurum ile sonuçlar  paylaşılır.

6. Doğrulama Denetimi ve Kapanış: Son aşamada ise bulunan açıklar ya da eksik yapılandırmalar konusunda kurum tarafından teyit alınarak kapanış gerçekleştirilir.

Sızma Testi Yaklaşımları nelerdir ?

1. BlackBox Pentest (Siyah Kutu Penetrasyon Testi); Testleri yapacak olan kişi ya da kişiler sistem ile ilgili bulabildikleri tüm bilgileri kendisi toplar ve testi yapar, kuruluş tarafından hiçbir bilgi verilmez.


2. WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi); Testi gerçekleştirecek olan sızma testi ekibine kuruluş içerisindeki tüm yapı ve/veya sistem hakkında bilgi verilir.


3. GreyBox Pentest (Gri Kutu Penetrasyon Testi); Kuruluş sistemi ile ilgili kısmi bilgiler sızma testini gerçekleştirecek olan ekibe test öncesinde verilir.

Sızma Testi Çeşitleri Nelerdir ?

1. Black Box : Kurumlara sadece dış IP kaynaklı internet üzerinden sızma testi yapılarak hacker’lar tarafından sisteme verilebilecek saldırılar simüle edilir.

2. White Box : Firma tarafından sağlanan bilgilere istinaden hem içeriden hem de dışarıdan sızma testi yapılarak tüm ağ ve sunuculara yönelik zafiyetler belirlenir.

3. Web Application Pentest : Web uygulamalarına yönelik konfigürasyon, sunucu ayarları ve kod kaynaklı zafiyetleri belirlemek maksadıyla yapılır.

4. Network Pentest : Kurumun özel ağında yer alan switch,router vb ağ cihazlarına yönelik yapılan sızma testlerinde ağın siber saldırılara karşı ne derecede güvende olduğu tespit edilir.

5. Database Security PenTest: Sistem içinde yer alan veritabanlarına yönelik yapılacak sızma testleri ile veritabanlarının yetkisiz erişim zafiyetleri belirlenir.

6. Firewall Local Pentest: Ağ içinde sadece firewall’a yönelik yapılan sızma testi ile firewall’un saldırılar karşısında performansının belirlenmesi için yapılır.

7. Wireless Networks Pentest: Kablosuz ağ cihazlarına yönelik yapılan sızma testleri ile ağ güvenlik seviyesinin belirlenmesi amaçlanır.

8. Denial of Service : DoS saldırılarına karşı Hedef sistemleri erişelemez hale getirecek yük bindirmeye yönelik yapılan testler ile sistmlerin DoS saldırılarına karşı hazırlık durumu tespit edilir.

9. Social Engineering Pentest: Kurum içinde çalışan personele yapılan sosyal mühendislik testleri ile kurum personelinin siber güvenlik farkındalık seviyesi ölçülür.

Sızma Testi Aşamaları nelerdir ?

1. Planlama ve Hazırlık : Sızma testinin amacının ve kapsamının tanımlanması ile sızma testinde kullanılacak yöntemlerin belirlenmesini kapsamaktadır.

2. Bilgi Toplama:  Kurum tarafından kullanılan sistemlere ait port bilgisi, versiyonların güncellik durumu, işletim sistemi ve veritabanı çeşitleri gibi bilgilerin çıkartılmasını kapsamaktadır.

3. Güvenlik Açığı Tespiti: Bilgi toplama sürecinde elde edilen bilgilerin gerekli araç ve teknikler kullanılması suretiyle sahip olduğu zaafitetlerin tespit edilmesi sürecidir.

4. Bilgi Analizi ve Planlama: Bulunan güvenlik açıklarının sömürülmesi için gerekli exploit veya payload gibi modüllerin belirlenmesi ve hazırlanması sürecidir.

5. Saldırı&Penetraston / Yetki Yükseltme: Hazırlanan exploit ve payload’lar ile güvenlik açığının sömürülmesi sürecini kapsamaktadır.

6. Sonuç Analizi – Raporlama: Önceki adımda uygulanan işlemlerin özeti çıkartılarak bulunan açıklık ile hangi sistemlerin etkilenebileceği ve hangi önlemlerin alınabileceğine ilişkin raporlama sürecidir.

%d blogcu bunu beğendi: