Pentest nedir? Penetrasyon ve Sızma Testi Nasıl Yapılır?

Pentest,Penetrasyon ve Sızma testi olarak bilinen veri güvenliğinde sistemlerimizi sızmalara karşı açıklarımızı bulmamıza yardım eden bu testler oldukça önem arz etmektedir. Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek;
  – Olabilecek saldırılara karşı açıklık ve zafiyet taramasını içten ve dıştan ayrıntılarıyla derinlemesine uygulamak.
  – Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak.
  – Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek.
  – Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek.
  – Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak.
  – Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek.
  – Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak.
  – Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek.

  Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.

  Risk değerlendirmesine alınması gereken sistemler:

  – Web siteleri, email sunucuları, uzaktan erişim platformları,
  – Haberleşme ve e-ticaret servisleri, hassas bilginin iletimi ve saklanması işlemlerini gerçekleştiren sistemler,
  – DNS güvenlik duvarı, parolalar, FTP, IIS ve web sunucuları,
  – Bağlantıların olduğu müşterilerin sistemleri,
  – Önemli üretim sistemleri,

  Penetrasyon Testi Metodolojisi

  2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) Sızma/Penetrasyon testini bir standarda kavuşturmak için sızma testleri 7 ana aşama olarak belirlenmiştir:

  –Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak yöntem ve araçlar belirlenip, testin kapsamı, ne kadar sürede sonlanacağı, test edilecekler ve kapsamda velirilmeyen olgular için ek destek verilmesi.

  –Bilgi toplama (Intelligence Gathering): Testi yapacak kurum ve teknik ekiple ilgili stratejik bir atak planı oluşturmak için kurumun girdi nokları hakkında veri toplamak.

   –Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımları yapılarak kategorileri belirlenir. Potansiyel tehdit ve tehdit toplulukları tanımlanarak, kategorilendirme işlemlerinin yardımıyla kurumun mevcutları ile buna karşı sladırganları odak noktasına alan bir tehdit model örneği oluşturma…

  -Zafiyet Analizi (Vulnerability Analysis) : 

  Saldırganların istismar etmesine neden olacak sistem ve uygulama zafiyetlerini bularak ortaya çıkarmak.

  –İstismar (Exploitation): Güvenlik önemleri ve kısıtlamalarına rağmen  sisteme ve kaynaklara erişim sağlayarak kurumun ana giriş noktasını bulmak ve yüksek değerli varlıkları saptamak.

  -İstismar sonrası (Post Exploitation): Ele geçirilen makinenin barındırdığı bilgilerin ne kadar değierli olduğu  ve makinenin ağdaki diğer hedeflerde kullanılması için makinenin kontrolünün sürdürülmesi.

  –Raporlama (Reporting): Raporların testle ilgili tüm teknik detaylarına , test yapılması için üzerinde anlaşılan varlıklara ve bileşenlere yer verilmesi gerekir. Kapsam, bilgiler, saldırı tekniği, kullanılan yöntemler, etki ve risk derecesi ile iyileştirme önerilerini ifade ederek içerikleri gösterir.

  Sızma Testi yöntemleri nelerdir?

  Blackbox: Bilgi Güvenliği Uzmanı’ na pentestin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
  Whitebox: Bilgi Güvenliği Uzmanı’na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
  Graybox: Ne ‘Whitebox’ ne de ‘Blackbox’ denebilir. İkisinin arasında olan bir sızma testi yöntemidir. Bilgi Güvenliği Uzmanı’na yapı ve/veya sistemler hakkında verilen bilgiler hakkında ‘detay’ verilmez.

  Penetrasyon Test Çeşitleri

  Penetrasyon (Sızma) Testi Çeşitleri ve Siber Güvenlik Danışmanlığı

•   Web Uygulama (Web Application / Web Güvenliği) Pentest Hizmeti: Firmanın internete açık olan servisleri (Mail, DNS, Web, FTP gibi) üzerinden yani web güvenliği için pentest (sızma testi) yapılarak sızma işlemleri gerçekleştirdiği hizmetlerdir.

•   Yerel Ağ (Network) Pentest Hizmeti: Kurumun yerel ağına bağlı herhangi bir istemcinin güvenlik açısından ne riskler getirebileceğini gösterme amaçlı olarak gerçekleştirilen bir hizmettir. Yerel ağınız üzerindeki zafiyetlerinizi ve varlıklarınızın yapılandırma hatalarını ortaya çıkartmaktadır.

•   Mobile Pentest Hizmeti: Mobil ortamda Android ve iOS işletim sistemlerindeki mobil uygulamalara yönelik statik ve dinamik güvenlik testleriyle ihtiyaç durumunda kaynak kod denetimi de yapılarak uygulamaların güvenliği denetlenir ve zafiyetler raporlanır.

•   Cloud Pentest Hizmeti: Kurumunuzun bulut (cloud) sunucuları üzerindeki zafiyetler için yapılan güvenlik testleridir. Sunucularınız üzerindeki yapılandırma hatalarından, güvenlik cihazlarınızın Cloud sistemlerindeki başarım oranlarına kadar birçok noktada sızma girişimleri bulunularak rapor hazırlanır.

•   Kaynak Kod Analizi Hizmeti: Kaynak kod analizi yapılarak kurumunuz, bağlı kurumların, iş ortaklarınız kısacası sistedeki aktif kullanıcılar için üretmiş olduğunuz tüm uygulamalar test edilmektedir. Kaynak kodlar incelenerek ve barındırmış olduğu zafiyetler tespit edilerek siber saldırılara karşı önlem almanız sağlanır.

•   DDoS Pentest Hizmeti: Kuruma ait olan tüm internet sistemi detaylı analiz edilerek sisteme servis dışı bırakma saldırıları (DDOS) gerçekleştirildiği himetlerdir.

•   Kablosuz Ağ (Wireless) Pentest Hizmeti: Firmanın iç ağlarında yönettiği kablosuz ağ altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara veya kötü niyetli kişilerin saldırılarına karşı sızma testlerinin yapılması ve raporlama hizmetlerini içeren hizmetlerdir.

•   Voip Altyapısı Pentest Hizmeti: Firmanın kullandığı VOIP sisteminin ayrıntılı olarak analizi yapılır ve voip sistemi üzerinden işlenebilecek sahtekarlıkların ve zafiyetlerin test edilmesi amaçlayan hizmetlerdir.

•   Sosyal Mühendislik/Phishing, Son Kullanıcı Güvenlik Testleri: Firma çalışanlarına ait e-posta hesaplarının internet üzerinden elde edilerek sosyal mühendislik saldırılarının gerçekleştirildiği hizmetlerdir. Bu sızma testinde internet üzerinden firma yerel ağına giriş denemeleri, APT ve benzeri saldırı teknikleri uygulanır..