Sızma testi penetrasyon nedir? Neden gereklidir?
Sızma testi, şirketinizin bilişim faaliyetlerini sabote etmek amacıyla kötü niyetli kişiler tarafından yapılabilecek olası saldırıları önlemenize olanak sağlar. Bu test sayesinde sisteminizin güçlü ve zayıf noktaları belirlenir. Bunun yanı sıra olası saldırıların önüne bu saldırılar daha oluşmadan geçmeye olanak sağlar. Pentest ismi ile de bilinen bu sızma testi, yetkili ve profesyonel çalışanlar tarafından yasal izinler çerçevesinde sistemin bir ön taraması gerçekleştirilerek yapılır. Bu test, özellikle sisteminizin zayıf noktalarını açığa çıkarmayı amaçlar.
Zayıf noktalar açığa çıkarıldıktan sonra bu noktaların ne gibi saldırılara maruz kalabileceği ve sisteminizin güvenlik protokollerini nasıl aşabileceği öngörülerek gerekli güvenlik önlemlerini almak hedeflenir. Ofansif- defansif ne demek ve pentest nasıl yapışır? Bu yazımızda bahsedilen konular ile ilgili merak edilenleri detaylı bir şekilde sizler ile paylaşacağız.
Ofansif- defansif ne demektir?
Siber güvenlik farklı alt dallar içermektedir. Bu alt dallardan birisi de Ofansif Siber Güvenlik olarak tanımlanır. Ofansif Siber Güvenlik aynı zamanda Kırmızı Takım olarak da bilinir. Ofansif Siber Güvenlik işlemlerinde bir sisteme sızma ve oradaki açıkları bulmak hedeflenir.
Ofansif siber güvenlik uzmanı, normal bir siber güvenlik uzmanın sahip olduğu yetkinliklerin dışında bazı ekstra yetkinliklere sahip olmalıdır. Bu eğitimlerden bazıları aşağıdaki gibidir:
Ağ sızma testi eğitimi
Mobil uygulama sızma eğitimi
Web uygulama sızma eğitimi
Uygulamalı sızma testi eğitimi
Kablosuz ağ sızma eğitimi
Ofansif siber güvenlik uzmanları çeşitli eğitimler alarak, sahip olması gereken yetkinliklere sahip olabilir.
Siber güvenlik firmalarının çalışma şekilleri, bünyesinde bulundurduğu çalışanlara göre değişiklik gösterir. Ofansif ya da defansif siber güvenlik üzerine yoğunlaşan firmalar, aynı zamanda farklı alt dallara da sahiptir. Bu alt dalların her birinin farklı çalışma şekilleri bulunur. Siber güvenlik firmalarının çalışma şekilleri, yoğunlaştıkları alt dala göre değişiklik göstermektedir. Bunun yanı defansif, daha çok savunma tarafını kapsayan mavi takım olarak da adlandırılır. Saldırganların neler yapabileceğini bilip onlara karşı önlemler alan taraf olarak da tanımlanmaktadır.
Adım adım web pentest nasıl yapılır?
Pentest veya Penetrasyon testi son derece önemli bir test türüdür. İşimizin büyük bir çoğunluğunu dijital ortam üzerinden gerçekleştirmekteyiz. Bu nedenle web siteleri ve uygulamaların güvenliği büyük önem arz etmektedir. Herhangi bir güvenlik zafiyetinde; kişisel bilgilerimiz, hesap bilgilerimiz, internet kullanımı bilgilerimiz üçüncü kişiler tarafından ele geçirilebilir. Web sitelerinin ve uygulamalarının güvenlik açıklarını tespit edip, kapatmaya yönelik yapılan çalışmalara pentest denir. Sızma testi adımları aşağıdaki gibidir:
Hedef Belirleme:
Sızma testinde hedef belirleme aşamasındaki amaç; gerçekleştirilecek olan sızma testinin hedeflerini ve testlerin yapılacağı sistemleri belirlemek olarak ele alınır.
Bilgi Toplama:
Kapsamda belirlenen hedef için öncelikli olarak pasif çalışmalar yapılır. Sonraki adımda sızma testlerinin gerçekleştirileceği sistemin kullandığı altyapı, geliştiricinin kullandığı programlama dili, ilgili sistemlerin fonksiyonları ve ne tür işlemler yapılabiliyor olduğunu tespit ederek bir sonraki güvenlik açığı tespiti adımında bu bilgiler kullanılarak testler yapılır.
Güvenlik Açığı:
Güvenlik açığı tespitinin ilk aşamasında otomatize araçlar kullanılarak sistem hakkında genel bir tarama yapılır. Bu araçlar ile sistemlerin hangi portunda hangi servisin çalıştığı gibi bilgiler elde edilir. Böylece, elde edilen versiyon bilgilerinde buna ait bir güvenlik açığı söz konusu ise direkt olarak tespit edilir.
Planlama:
Bir önceki adımda bulunan güvenlik açığının giderilmesi için gerekli araştırma ve planlama yapılır. Bu planlama doğrultusunda ise işlemler adım adım uygulanır ve gözlemlenir.
Raporlama:
Önceki adımda uygulanan işlemlerin özeti hazırlanır. Oluşabilecek potansiyel risklerin ortadan kalkması için alınabilecek önlemler, hangi sistemlerin etkilenebileceği ve bunun etkileri de raporlanmaktadır.
Temizlik:
Çalıştırılan explotiler sistemde herhangi bir değişiklik yaptıysa eskiye döndürülür ve oluşturulan kullanıcılar da silinir.
Andevos olarak bu yazımızda, sızma testi nedir, ofansif- defansif nedir ve adım adım sızma testi gibi konular hakkında merak edilenleri sizler ile paylaştık. Amacımız; finans sektörünün ve kurumsal firmalarının ihtiyaç duyduğu Bilgi Teknolojileri hizmetlerini sunmaktır.