Pentest ve Doğru Bilinen Yanlışlar

admin

Temmuz 12, 2023

Uncategorized

Pentest ya da Penetrasyon Testi Nedir?
Pentest takma ad sızma testi; Yukarıdaki zafiyet ve zafiyetlerin kötü niyetli kişilerce kullanılmasını engellemek ve bilgisayar sistemlerindeki zafiyet, zafiyet ve mantıksal hataları tespit ederek bilgisayar sistemlerinin güvenliğini artırmak amacıyla yapılan testlerdir.

Sızma Testinin Hedefleri
Sızma Testinin temel amacı; Kurumun güvenlik açıklarını ve güvenlik sorunlarını tanımlamak açıktır. Ayrıca güvenlik politikalarının doğruluğunu test etmeyi, çalışanların güvenlik farkındalığını artırmayı ve kuruluşun bir güvenlik ihlaliyle karşılaşıp karşılaşmayacağını ve nasıl karşılaşacağını doğrulamayı amaçlar.

Pentest Gerekliliği
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (Pentest) yürürlüğe girmesiyle pentest gerekliliği ortaya çıktı. Kişisel Verileri Koruma Dairesi tarafından yayınlanan Kişisel Verilerin Güvenliğine İlişkin Kılavuz’da veri sorumlularının idari ve teknik tedbirler alması gerektiği belirtilmektedir. Teknik önlemlere gelince, KVKK penetrasyon testi de alınabilecek önlemlerle ilgilidir.

Sızma testi metodolojisi ve aşamaları Nedir ve nasıl yapılır
Sızma testi uygulama standardı yedi ana bölümden oluşur. Bu adımlar, sızma testiyle ilgili her şeyi kapsar. Sızma testi metodolojisi, adımları nelerdir ve nasıl yapılır?

Etkileşim Öncesi Etkileşimler: Etkileşim öncesi sızma testi aşamalarını başarılı bir şekilde desteklemek için mevcut teknikleri ve araçları açıklar ve tanımlar. Bu bölüm penteste başlamadan önce cevaplanması gereken önemli soruları içerir.


İstihbarat Toplama: Güvenlik açığı değerlendirmesi ve kullanım aşamasında hedefe nüfuz etmek için mümkün olduğunca fazla bilgi toplamak için hedefin keşif süreci.

 

Tehdit Modellemesi : Sızma testini başarıyla gerçekleştirmek için gereken tehdit modelleme yaklaşımını tanımlar. Belirli bir modelden ziyade standart, tehditleri, yetenekleri, test konusu niteliklerini ve sonraki testlerde yeniden kullanılabilirliği temsil etme açısından kullanılan modelde tutarlılık gerektirir.


Güvenlik Açığı Taraması: Bu, bir saldırganın sistemlerdeki ve uygulamalardaki güvenlik açıklarını keşfettiği süreçtir.Bu güvenlik açıkları, yanlış yapılandırılmış ana bilgisayarlar ve hizmetlerden veya güvenli olmayan uygulama tasarımından kaynaklanabilir.


Sömürü: Güçlendirmeyi atlayarak yalnızca bir kaynağa veya sisteme erişmeye odaklanın. Bu adımı gerçekleştirmek için güvenlik açıklarını başarıyla taramanız gerekir. Bu sürecin amacı, kilit hedefler olabilecek kilit sistem giriş noktalarını ve varlıkları belirlemektir.


İstismar Sonrası: Güvenliği ihlal edilmiş bir bilgisayarın değerini belirlemek ve sistemi daha sonra kullanmak üzere doğrulamak için. Bir bilgisayarın değeri, üzerinde depolanan verilerin önemi ve bilgisayarın ağ güvenliğinden daha fazla ödün vermedeki kullanışlılığı ile belirlenir.

Raporlama: pentest raporlanması için temel kriterleri tanımlamayı amaçlar. Kritik zafiyet seviyeleri (yüksek ve düşük) raporlarda belirtilmelidir.

Pentest Türleri

White box pentesting: Bu testte, test edilecek altyapı ile ilgili tüm bilgiler, sistemin ağ yapısı, kaynak kodu ve IP adresi bilgileri dahil olmak üzere test cihazına iletilir.
Black Box Testi: Test, test edilen sistem hakkında herhangi bir bilgi sağlamadan başlar.
Gray Box Sızma Testi: Bu yöntem, bilgi sistemi hakkında sınırlı miktarda bilgi ile sisteme sızmaya çalışır. Belirli şirket bilgilerine erişimi olan bir kullanıcıyı veya çalışanı taklit ederek sistem güvenlik açıklarını doğrulamanıza olanak tanır.

(Pentest) PenTest Türleri

  • Sosyal Mühendislik Testleri
  • Web Uygulama Testleri
  • Fiziksel Sızma Testleri
  • Web Hizmetleri Testleri
  • İstemci Tarafı Testleri
  • Kablosuz Güvenlik Testleri

Sızma Testine Kimler İhtiyaç Duyar?

Bilgisayar korsanları, güvenlik açıklarını aramak için araçlarını ve taktiklerini sürekli olarak değiştiriyor. Dijital güvenlik önlemlerinin işe yaradığını doğrulamak için dayanıklılık açısından test edilmeleri gerekir. Sadece saldırıya uğrarsan ne olacağını düşünmeye çalış. Penetrasyon testi veya pen testi ile altyapıyı test ettiğinizde saldırı tamamen sizin kontrolünüz altındadır, bu nedenle başarılı bir girişimde bulunma riski yoktur.

Pentest’in temel amacı, müşterinin altyapısında ve siber suçlular tarafından yararlanılabilecek uygulamalardaki güvenlik açıklarını bulmaktır. Ek olarak, sızma testi, gelişmiş BT güvenlik politikalarının etkinliğini ve bunların iyileştirilmesi gerekip gerekmediğini anlamaya yardımcı olur. Bazen bilgi güvenliği uzmanlarının saldırılara karşı dayanıklılığını test etmek için testleri yapılır.

young-hacker-making-a-dangerous-virus-for-cyber-attacks.jpg
bearded-old-hacker-wearing-a-hoodie-talking-with-young-hacker.jpg
back-view-of-hackers-working-on-making-a-dangerous-malware.jpg

SIZMA TESTİNDE DOĞRU BİLİNEN YANLIŞLAR

 

Pentest, bilgi güvenliği sorunlarını ve altyapı öğelerine veya gizli bilgilere yetkisiz erişim elde etmenin olası yollarını tanımlayan, şirket ağ kaynaklarının güvenliğinin bir analizidir. Bu testler söz konusu olduğunda, birçok kişi ve kaynak çeşitli efsaneleri ve korkuları besliyor. İşte o kafa karıştıran hatalardan bazıları:


Küçük işletmelerin penteste ihtiyacı yoktur.

İşletmenizin boyutu ne olursa olsun dolandırıcıların (hacker) kurbanı olmamak için elinizden gelen her şeyi yaptığınızdan emin olmak için sızma testi mevcuttur. Siber suçlular işinizin ne kadar büyük olduğuyla ilgilenmezler, onlar için amaç hedeftir.

Sızma testi yalnızca hükümetler veya finans kurumları tarafından yapılmalıdır.
Güvenlik, hangi sektörde olursanız olun her işletmenin kritik bir parçasıdır. İş süreçlerinin devamlılığının sağlanması ve en önemlisi ihlallerden ve bilgi sızıntılarından kaynaklanan ciddi itibar ve mali zararların önüne geçilmesi çok önemlidir. PCI ve HIPAA gibi standartlar da penetrasyon testi gerektirir. Firmalar son dönemde KVKK Pentest (Pentest) yapma zorunluluğu ile bu hizmeti almıştır.

Pentest bir güvenlik açığı değerlendirmesidir.
Kuruluşlar genellikle sızma testini güvenlik açığı değerlendirmeleriyle karıştırır. Güvenlik açığı değerlendirmeleri, güvenlik açığının kritik olup olmadığını kontrol etmeden bilinen güvenlik sorunlarını ve başarısızlık oranlarını arayan önceden tanımlanmış parametrelere sahip otomatik bileşenlere dayalıdır. Ayrıca, bu otomatik tarama araçlarının veritabanı dışı veya insan yapımı güvenlik açıklarını algılamadığını unutmayın. Pentest, her güvenlik açığını test etmek için hem manuel hem de otomatik yöntemler kullanır, bu güvenlik açığından yararlanmaya çalışır ve bir bütün olarak sistemi nasıl etkilediğini gösterir. Sızma testi sırasında başarılı bir şekilde yararlanılan tüm güvenlik açıklarına ilişkin bilgiler toplanır ve uzmanların stratejik sonuçlar çıkarmasına ve uygun iyileştirme eylemlerine öncelik vermesine yardımcı olmak için üst düzey yönetime ve BT departmanlarına sunulur. İyi bir penetrasyon testi şirketi, ayrıntılı ancak okunması kolay bir rapor sağlamalıdır.

Sızma testi yaptıktan sonra sistemim güvende
Sızma testi, güvenlik önlemlerinin bir parçasıdır ve PCI DSS standartları, hem yıllık hem de her sistem değişikliğinden sonra sızma testi gerektirir. Düşük riskli güvenlik açıklarından yüksek riskli güvenlik açıklarını da belirleyebilirsiniz. Sızma testi hizmeti veren çalışanlara ve şirketlere yılda en az bir kez onay programı önerilir.

 

Sızma testi sisteminize zarar verebilir.

İlk olarak, standartlara uygun hiçbir sızma testi (sızma testi) BT altyapınıza zarar vermez. Ancak elbette sızma testleri (penetrasyon testleri) yapılırken dikkat edilmesi gereken bazı riskler ve noktalar vardır. Penetrasyon testi sırasında, sistemin aşırı yüklenmesi nedeniyle işletim sisteminde veya sağlanan hizmette olası sorunlar, test sırasında şirket verilerinin kasıtlı veya kasıtsız olarak değiştirilmesi ve önceki test sonuçlarının üçüncü taraflarca kötüye kullanılması gibi riskler vardır. Gizliliği sağlamak için imzalı bir gizlilik sözleşmesi (NDA) edinin. Kuruluşunuzdaki herkesin sızma testi hakkında bilgi sahibi olduğundan emin olun. Önemli verileri yedekleyin. Test sırasında hatalar veya başka sorunlarla karşılaşırsanız, sızma testi şirketini hemen bilgilendirin. Burada firmanın güvenilirliğini kontrol etmek, sözleşmeyi ve sorumluluk reddini dikkatlice okumak çok önemlidir.


Sonuç olarak;

Pentest size şirketinizin mevcut güvenlik durumunu kontrol etme imkanı sunuyor. Doğru test kapsamını ve türünü seçerek güvenlik açıklarınızı kolayca belirleyebilir ve bunları ilgili standartlara göre düzeltebilirsiniz.

İşini iyi yapan yetkin çalışanlara sahip güvenilir bir şirket bulmak tüm sürecin en temel parçasıdır. Güvenlik şirketi, güvenlik açıkları giderilene ve riskler en aza indirilene kadar her adımda size destek olmalıdır.

Sızma testi bağımsız bir süreç olmamalı, gizlilik, bütünlük ve kullanılabilirlik gibi kapsamlı bir risk yönetimi programının ayrılmaz bir parçası olmalıdır. Sızma testi, Kişisel Verilerin Korunması Kanunu’na (KVKK) uyum çerçevesinde alınan teknik tedbirlerden biridir.

Ve unutmayın ki siber güvenlik çok teknik önlemlerin ötesine geçen bütüncül ve genel bir yaklaşımdır. Kırılabilecek kadar güvenli hiçbir güvenlik sistemi olmadığını unutmayın. Sürekli kontrol ve iyileştirmeye dayalı bir kültüre sahip şirketler var.

 

 

Tags :
kvkk,penetrasyon testi,pentest,siber güvenlik
Share This :

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Diğer Yazılar

Kategoriler

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.