Pentest, Penetraston, Sızma Testi olarak bilinir ve bu testlerde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılarak açıkların nereden gerçekleşebileceğiyle ilgili testler yapar. Kötü niyetli bir bilgisayar korsanı yani hackerın sisteme nereden nasıl , hangi yol ve yöntemlerle sızabileceği bu konuda bilgili güvenlikçiler, program ve donanımlarla incelenerek yapılır. Bu nedenle bu testleri yapan güvenlikçiler, hacker gibi düşünmeli ve sisteme nereden nasıl sızabileceği ve ele geçireceği senaryoları uygulayarak ve saldırganın sızma , ele geçirme için kullanacağı tüm yöntemleri deneyerek gerçek bir saldırıya maruz kalındığında, sistemin zayıf ve açık olan noktalarını onarıp ve güvenliği daha da sağlamlaştırmalıdır. Sızma(Penetrasyon yada Pentest adı verilen bu testlerde lisanslı veya açık-kaynak kodlu araçlar ile otomatize tarama araçlarının dışında kurumların sistemlerine göre manuel testler de uygulayıp oluşabilecek tüm saldırılara karşı, bütün zafiyetler tespit edilip açıklar giderilmeye, onarılmaya çalışılır.
– Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek
– Olabilecek saldırılara karşı açıklık ve zafiyet taramasını içten ve dıştan ayrıntılarıyla derinlemesine uygulamak
– Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak
– Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek
– Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
– Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
– Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
– Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak
– Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek
Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.
– Web siteleri, email sunucuları, uzaktan erişim platformları
– Haberleşme ve e-ticaret servisleri, hassas bilginin iletimi ve saklanması işlemlerini gerçekleştiren sistemler
– DNS güvenlik duvarı, parolalar, FTP, IIS ve web sunucuları
– Bağlantıların olduğu müşterilerin sistemleri
– Önemli üretim sistemleri
2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) Sızma/Penetrasyon testini bir standarda kavuşturmak için sızma testleri 7 ana aşama olarak belirlenmiştir:
–Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak yöntem ve araçlar belirlenip, testin kapsamı, ne kadar sürede sonlanacağı, test edilecekler ve kapsamda velirilmeyen olgular için ek destek verilmesi.
–Bilgi toplama (Intelligence Gathering): Testi yapacak kurum ve teknik ekiple ilgili stratejik bir atak planı oluşturmak için kurumun girdi nokları hakkında veri toplamak.
–Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımları yapılarak kategorileri belirlenir. Potansiyel tehdit ve tehdit toplulukları tanımlanarak, kategorilendirme işlemlerinin yardımıyla kurumun mevcutları ile buna karşı sladırganları odak noktasına alan bir tehdit model örneği oluşturma
-Zafiyet Analizi (Vulnerability Analysis) :
Saldırganların istismar etmesine neden olacak sistem ve uygulama zafiyetlerini bularak ortaya çıkarmak.
–İstismar (Exploitation): Güvenlik önemleri ve kısıtlamalarına rağmen sisteme ve kaynaklara erişim sağlayarak kurumun ana giriş noktasını bulmak ve yüksek değerli varlıkları saptamak
-İstismar sonrası (Post Exploitation): Ele geçirilen makinenin barındırdığı bilgilerin ne kadar değierli olduğu ve makinenin ağdaki diğer hedeflerde kullanılması için makinenin kontrolünün sürdürülmesi
–Raporlama (Reporting): Raporların testle ilgili tüm teknik detaylarına , test yapılması için üzerinde anlaşılan varlıklara ve bileşenlere yer verilmesi gerekir. Kapsam, bilgiler, saldırı tekniği, kullanılan yöntemler, etki ve risk derecesi ile iyileştirme önerilerini ifade ederek içerikleri gösterir.
Sızma Testi yöntemleri nelerdir?
Blackbox: Bilgi Güvenliği Uzmanı’ na pentestin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox: Bilgi Güvenliği Uzmanı’na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox: Ne ‘Whitebox’ ne de ‘Blackbox’ denebilir. İkisinin arasında olan bir sızma testi yöntemidir. Bilgi Güvenliği Uzmanı’na yapı ve/veya sistemler hakkında verilen bilgiler hakkında ‘detay’ verilmez.
OWASP Penetration Testing Guide
Penetration Testing Execution Standard (PTES)
NIST Penetration Testing Guidelines
Adres: Esentepe Mah.
Kore Şehitleri Cad. No:38/7
Şişli/İstanbul
Tel: +90 212 217 35 35
Fax: +90 212 283 10 11
info@karyabt.com