Penetrasyon Testi


Penetrasyon Testi Nedir?

Penetrasyon yani sızma testi içerden ya da dışardan sisteme zarar vermek için yapılan siber saldırıları önceden görebilmek ve duruma göre tedbirleri alabilmek amacıyla planlanan bir saldırı simülasyonudur. Tıpkı gerçek bir siber suç işleniyormuş gibi saldırganların kullandığı yöntemler kullanılarak bilişim altyapısını ele geçirilmeye, sızılmaya çalışılır. Saldırganların yapabileceği her türlü sızma ya da saldırı senaryosu denenerek bilgisayar sisteminde, web uygulamasında ya da ağda bulunan tüm güvenlik eksikleri ve açıklara önlem alınması sağlanmış olur.

Siber saldırılar için uzman ekibimiz siber suçların işlenebileceği ağdaki, bilgisayar sistemindeki ya da web uygulamasındaki zayıf noktaları bulmak için penetrasyon testi yapmaktadır. Yapılan tüm işlemler yetkili kişiler tarafından ve yasal olarak gerçekleşmektedir.

Penetrasyon Testi Hizmetleri Nelerdir?

3 çeşit penterasyon sızma testi vardır. Bunlar:

  • White Box Penetrasyon Testi:

Penetrasyon testi uzmanı kurumda bulunan tüm sistemler hakkında bilgilendirilir. White box penterasyon testinde kurumda çalışmakta olan ya da ağa misafir olarak dahil olan kişilerin dışarıdan ya da içeriden sisteme verebilecekleri zararlar uzman tarafından simüle edilir.

  • Black Box Penetrasyon Testi:

Bu sızma testinde kurum tarafından bilgilendirilme yapılmaz. Uzman ekip sanki gerçek bir siber saldırgan gibi dışarıdan sisteme sızarak verilebilecek zararları simüle eder.

  • Grey Box Penetrasyon Testi:

Bu sızma testinde White boz penetrasyon testine göre daha az bilgi alınmış hali olduğu söylenebilir. White box ve grey box arasında bir sızma testidir.

Penetrasyon Sızma Testinin Kapsadıkları Uygulamalar ve Sistemler Nelerdir?

  • Kablosuz Ağ Sistemleri
  • ATM Sistemleri
  • Dağıtık Servis Dışı Bırakma Testleri
  • Sosyal Mühendislik Testleri
  • İletişim Altyapısı ve Aktif Cihazlar
  • DNS Servisleri
  • Etki Alanı ve Kullanıcı Bilgisayarları
  • E-posta Servisleri
  • Veri tabanı Sistemleri
  • Web Uygulamaları
  • Mobil Uygulamalar

Gibi birçok sistemde yapılabilir.

Penetrasyon Sızma Test Çeşitleri Nelerdir?

  • Mobil Sızma Testi
  • Wireless Sızma Testi
  • Sosyal Mühendislik Sızma Testi
  • Web Uygulama Sızma Testi
  • DOS/ DDoS Sızma Testi
  • Network Sızma Testi

Penetrasyon Testinin Amaçları Nelerdir?

  • Siber saldırıların işe yarayıp yaramadığını test etmek
  • Sistemin güvenliğini sağlamak için gerçekleştirilen maliyetleri gerekçelendirmek.
  • Sistemde bulunan küçük ya da büyük tüm açıkların tespitini yapmak.
  • Sistemin saldırıları tespit edebilme ve savunma durumunu test etmek.
  • Olası bir siber saldırı sonucunda oluşabilecek zararları tespit etmek.
  • Sistemdeki tespit edilmesi zor olan açıkları bulmak.

Penetrasyon (Sızma) Testi Adımları

Penetrasyon testi belli bir algoritma ile ilerlemektedir. Bu algoritmaları 7 adım olarak belirleyebiliriz. Bu adımlar şu şekildedir:

  1. Kapsam Belirleme:

Penetrasyon (sızma) testinin yapılacağı kurumun isteği üzerine testin yapılacağı sistemin kapsamı ve tipi belirlenir.

  1. Bilgi Toplama:

Uzman hedef sistem hakkında öğrenebileceği tüm bilgileri toplar. Bunun için Nessus, Nmap gibi yazılımlar kullanabilirken sosyal medya gibi araçlar da kullanılabilir. Önemli olan elden gelen tüm bilgileri toplamaktır.

  1. Zafiyet Arama:

Sağlıklı ve güvenli çalışan bir sistem için bütün risklerin tespit edilmesi gereklidir. Bu risklerle birlikte oluşabilecek tüm zayıflıklar da bulunmalıdır. Nmap, Nikto gibi araçlarla sistemdeki zayıflıklar bulunabilir.

  1. İstismar Etme:

Kurumun verdiği ve elde edilen tüm bilgiler dahilinde sistemde bir yetki alınmaya çalışılır. Asıl amaç gerçek bir siber saldırıdaki gibi güvenlik duvarı saldırı tespit ve engelleme gibi aşamaları atlatıp sisteme erişmeye çalışmaktır.

  1. Yetki Yükseltme:

Bu adımda hedef ele geçirilen sistemde daha yüksek bir yetkiye sahip olmaktır.

  1. Diğer Ağlara Sızma:

Bu adımda hedef ağı izlemek ve ağdaki diğer kullanıcıların da oturum bilgilerini ele geçirmektir.

  1. Raporlama:

Son adım olan raporlama adımında bulunan tüm zafiyetler ve ortaya çıkardıkları etkileri bunların çözüm önerileri gibi gerçekleştirilen tüm işlemler kuruma sunulur.