Penetrasyon testi hack olaylarının artmasıyla birlikte daha fazla merak edilen bir konu haline geldi. Özellikle web sitesi sahipleri penetrasyon testi nedir ve nasıl yapılır sorularını sıklıkla sormaya başladı. Bu makalede bir diğer adıyla sızma testi hakkında temel seviyede bilgi edinebilirsiniz.
Konu Başlıkları
Penetrasyon Testi Nedir?
Penetrasyon testi bir saldırı simülasyonudur. Pentest ve sızma testi olarak da bilinmektedir. Penetrasyon testinde, kötü niyetli şahsın sisteme yönelik kullandığı veya kullanabileceği tüm saldırı yöntemleri/teknikleri kullanılmaya çalışılır. Şahsın veya şahısların saldırı gerçekleştirirse ne tür zararlara yol açabileceği bu şekilde tahmin edilebilmektedir. Elde edilen verilere göre gerekli güvenlik tedbirleri alınır. Penetrasyon testi, saldırı öncesinde tedbir alınması açısından oldukça önemli bir konuma sahiptir.
Penetrasyon testinin genel amaçları;
- Güvenlik açıklarını tespit etme
- Dışarıdan / içeriden gelebilecek saldırılara karşı güvenlik seviyesini arttırma
- Personel / organizasyonun alt yapı güvenliğini arttırma
Penetrasyon Test Türleri Nelerdir?
Penetrasyon test türleri üç gruba ayrılır. Bu test türleri, sızma testinin dışarıdan mı yoksa içeriden mi yapılacağını ve hangi bilgi seviyesinde yapılacağını temsil etmektedir.
White Box Testi
İçeriden gerçekleştirilen bir saldırı türüdür. Siber güvenlik uzmanı bu pentesti gerçekleştirmeden önce tüm sistem hakkında gerekli bilgileri edinmektedir.
Black Box Testi
Siber güvenlik uzmanı, bu penetrasyon testinde sistem hakkında herhangi bir bilgiye sahip değildir. Sistem hakkında gerekli bilgiye sahip olmadan, dışarıdan sisteme sızmaya çalışan kötü niyetli şahıslara karşı bu test ile tedbir alınabilmektedir.
Grey Box Testi
Hem White Box hem de Black Box test türlerini kapsayan bir penetrasyon test türüdür. Anlaşılacağı üzere hem içeriden hem de dışarıdan saldırı gerçekleştirilir. Grey Box test türünde ek olarak düşük yetkiye sahip kullanıcının sisteme sızması da simüle edilmektedir.
Penetrasyon Testi Nasıl Yapılır?
Penetrasyon testi nedir sorusunun yanıtını ve türlerinin neler olduğunu anladıktan sonra, sıra nasıl yapıldığını anlamaya geldi.
Planlama ve Hazırlık
Penetrasyon testi için hedeflerin belirlendiği aşamadır. Testi yapan firma ve müşteri, testin hedefini birlikte belirlerler. Güvenlik açıklarının tespit edilmesi, sıklıkla belirlenen hedeflere örnek olarak verilebilir.
Araştırma Süreci
Sistem hakkında ön bilgi edinilen aşamadır. Edinilen ön bilgiye örnek olarak IP adresi verilebilir.
Keşif
Bu aşamada güvenlik açıklarının tespiti gerçekleşir. Genellikle hazır yazılımlar kullanılır. Hazır yazılımların dünya genelinde en son tespit edilen güvenlik açıklarını barındıran bir veritabanı bulunur. Bu şekilde güvenlik açıklarının daha çabuk tespit edilmesi ve kapatılması hedeflenir. Bkz: Kali Linux | Information Gathering (Bilgi Toplama) Araçları
Bilgi ve Risk Analizi
Sızma testi öncesinde toplanan bilgiler bu aşamada analiz edilerek değerlendirilir.
Saldırı Girişimi
Toplanan bilgiler, yapılan analizler ve keşif sonrasında gerçekleştirilen saldırı aşamasıdır. Ön çalışmalardaki verilerin doğruluğunun ölçülebilmesi için gerektiğinde saldırı gerçekleştirilir. Saldırı sonucunda potansiyel risklerin ve güvenlik açıklarının gerçekliği ortaya çıkmış olur.
Bilgi: Kali Linux kullanarak penetrasyon testlerinizin büyük kısmını ücretsiz olarak gerçekleştirebilirsiniz.
Özet
Bu aşamaya kadar elde edilen tüm bilgiler değerlendirilir. Varılan sonuca göre tedbir yönünden öneriler sunulur.
Raporlama
Bu aşama penetrasyon testinin son ayağıdır. Penetrasyon testinin genel olarak nasıl gerçekleştiği, toplanan bilgiler, değerlendirmeler, sistem ile ilgili detaylar ve öneriler belgelendirilir.
Penetrasyon Testi Fiyatı
Test fiyatı için belirlenen net bir fiyat yoktur. Hizmeti sunan kişi/firmaya göre fiyat değişkenlik göstermektedir. Ayrıca sisteminizin ne ölçekte olduğu fiyatı belirleyen önemli bir diğer etkendir. Sisteminiz çok büyük/kapsamlı değil ve firmalar yerine tek bir siber güvenlik uzmanı ile çalışırsanız daha ucuza hizmet alabilirsiniz. Sizin için fiyat tek başına belirleyici olmasın. Firmaların verimlilik ve performans açısından daha iyi hizmet verebileceğini unutmayın.
Penetrasyon testi nedir sorusunu soran kişiler için bu makalede temel seviyede bilgi verilmiştir. Penetrasyon testi siber güvenlik alanına girdiği için uzmanlık gerektirir. Bu sebeple makale içerisindeki alt başlıklar aslında her birisi ayrı bir araştırma konusudur. Derinlemesine bilgi edinmek için daha fazla araştırma yapmalısınız. Eğer hızlıca bilgiye ulaşmak istiyorsanız kesinlikle uzman kişilere soru sorarak merakınızı gidermeniz daha iyi olacaktır.