Penetrasyon Testi Nasıl Yapılır?

Siber Güvenlik
Penetrasyon Testi Nasıl Yapılır

Penetrasyon testinin nasıl yapıldığına gelmeden önce ne olduğunu açıklayalım. Penetrasyon Testi (Pentest) kötü amaçlı bir saldırganın içeriden ya da dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur

Neden Penetrasyon Testi?

Penetrasyon testi – Pentest şirketin güvenlik becerilerini üst düzeyde tutmak, Dışarıdan gelebilecek saldırıları görüp önlem almak, Sistemlerinize yapılan yatırımı güvende tutmak ve en önemlisi de güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için pentest – penetrasyon testi yapılmalıdır.

Sızma Testinin 7 Adımı ve Aşamaları

  1. Planlama ve Hazırlık
  2. Keşif
  3. Tarama
  4. Bilgi ve Riskleri Analiz Etme
  5. Aktif İzinsiz Girişimleri
  6. Son Analiz
  7. Raporlama

Sızmada Planlama ve Hazırlık

Planlama ve hazırlık, sızma testinin amaç ve hedeflerini tanımlamakla başlar, müşteri ve test eden, her iki tarafın da aynı hedeflere ve anlayışa sahip olması için hedefleri ortaklaşa tanımlar. Sızma testinin ortak amaçları şunlardır:

  • Güvenlik açığını belirlemek ve teknik sistemlerin güvenliğini artırmak.
  • BT güvenliğini harici bir üçüncü tarafça onaylatın.
  • Organizasyon/personel altyapısının güvenliğini artırın.

Sızma için Önce Keşif

Keşif, ön bilgilerin bir analizini içerir. Çoğu zaman, bir testçi, ön bilgilerden, yani bir IP adresi veya IP adresi bloğu dışında fazla bilgiye sahip değildir. Test cihazı, mevcut bilgileri analiz ederek ve gerekirse istemciden sistem açıklamaları, ağ planları vb. gibi daha fazla bilgi talep ederek başlar. Bu adım, bir nevi pasif penetrasyon testidir. Tek amaç, sistemlerin tam ve detaylı bilgisini elde etmektir.

Zafiyet Taraması

Bu adımda, bir sızma test cihazı, güvenlik açıklarını keşfetmek için hedef varlıkları taramak için büyük olasılıkla otomatik araçları kullanacaktır. Bu araçların normalde en son güvenlik açıklarının ayrıntılarını veren kendi veritabanları vardır. Ancak, test cihazının keşfi

  • Ağ Keşfi – Ek sistemlerin, sunucuların ve diğer cihazların keşfi gibi.
  • Host Discovery – Bu cihazlardaki açık portları belirler.
  • Hizmet Sorgulama – Üzerinde çalışan gerçek hizmetleri keşfetmek için bağlantı noktalarını sorgular.

Bilgi ve Riskleri Analiz Etme

Bu adımda, test cihazı, sisteme dinamik olarak nüfuz etmek için test adımlarından önce toplanan bilgileri analiz eder ve değerlendirir. Daha fazla sayıda sistem ve altyapı boyutu nedeniyle, son derece zaman alıcıdır. Analiz ederken, test eden kişi aşağıdaki unsurları dikkate alır –

  • Sızma testinin tanımlanmış hedefleri.
  • Sistem için olası riskler.
  • Sonraki aktif sızma testi için olası güvenlik açıklarını değerlendirmek için gereken tahmini süre.

Ancak, tanımlanan sistemler listesinden, test eden kişi yalnızca potansiyel güvenlik açıklarını içerenleri test etmeyi seçebilir.

Aktif İzinsiz Girişimleri

Bu, özenle yapılması gereken en önemli adımdır. Bu adım, keşif adımında tanımlanan potansiyel güvenlik açıklarının gerçek risklere ne ölçüde sahip olduğunu içerir. Bu adım, olası güvenlik açıklarının doğrulanması gerektiğinde gerçekleştirilmelidir. Çok yüksek bütünlük gereksinimlerine sahip olan sistemler için, kritik temizleme prosedürleri gerçekleştirilmeden önce potansiyel güvenlik açığı ve riskin dikkatlice değerlendirilmesi gerekir.

Son Analiz

Bu adım, öncelikle o zamana kadar yürütülen (yukarıda tartışılan) tüm adımları ve potansiyel riskler şeklinde mevcut güvenlik açıklarının bir değerlendirmesini dikkate alır. Ayrıca, test cihazı güvenlik açıklarını ve riskleri ortadan kaldırmayı önerir. Her şeyden önce, test eden kişi, testlerin şeffaflığını ve ifşa ettiği güvenlik açıklarını sağlamalıdır.

Rapor Hazırlama

Rapor hazırlama, genel test prosedürleriyle başlamalı, ardından güvenlik açıklarının ve risklerin analizi yapılmalıdır. Yüksek riskler ve kritik güvenlik açıkları önceliğe sahip olmalı ve ardından alt sıra gelmelidir.

Ancak, nihai raporu belgelerken aşağıdaki noktaların dikkate alınması gerekir –

  • Penetrasyon testinin genel özeti.
  • Her adımın ayrıntıları ve kalem testi sırasında toplanan bilgiler.
  • Tüm güvenlik açıklarının ve keşfedilen risklerin ayrıntıları.
  • Sistemlerin temizlenmesi ve sabitlenmesiyle ilgili ayrıntılar.
  • Gelecekteki güvenlik için öneriler.
Tags :
bulut hizmetleri,cyber,siber,siberguvenlik,yapay zeka
Share This :

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Diğer Yazılar

Kategoriler

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.