Penetrasyon Testi Aşamaları
Kamu kuruluşları, işletmeler veya diğer kuruluşlar kullanmış oldukları web uygulamalar, mobil uygulamalar ya da networkları güvende tutmak amacıyla penetrasyon testine başvurmaktadırlar. Özellikle network ağlarına yapılan bir siber saldırı nedeniyle kişi veya kurumlar oldukça büyük zararlara uğraması söz konusu olabilmektedir. Ayrıca sızma testi veya penetrasyon testi şirket imajı için ayrı bir öneme sahiptir. İşte işletme ve kuruluşlar için siber güvenlik amacı ile yapılan tüm bu işlemler penetrasyon testi aşamaları kapsamında gerçekleştirilmektedir.
Konusunda uzman olmayan kişilerce veya penetrasyon testi aşamaları doğrultusunda yapılmayan bir sızma testinin verimli olacağını söylemek mümkün değildir. Bu nedenle sızma testi firmaları seçiminde dikkat edilmesi gerekmektedir. Her biri siber güvenlik için önemli olan sızma testi aşamaları genel olarak aşağıdaki gibidir. Penetrasyon testi aşamaları hakkında detaylı bilgiler vermeden önce kısaca penetrasyon testi nedir? Sorusuna cevap vermekte fayda vardır.
Penetrasyon Testi Nedir?
Herhangi bir bilişim sisteminin güvenlik açıklıklarını tespit etmek amacı ile yapılan tüm işlemlere sızma testi veya penetrasyon testi denilmektedir. Genellikle penetrasyon testi bir çeşit kontrollü saldırı olarak nitelendirilmektedir. Günümüz teknolojileri ve bilişim alanında meydana gelen değişikler göz önüne alındığında siber güvenlik açısından en etkili yöntem penetrasyon testidir.
Penetrasyon Testi Aşamaları
Planlama
Günlük hayatta gerçekleştirmiş oluğumuz tüm işlemlerde öncelikle planlama yapmaktayız. Aynı durum penetrasyon testi içinde geçerlidir. Planlama yapılmaksızın gerçekleştirilen bir işlemin sağlıklı olarak ilerlemesi oldukça zordur. Penetrasyon testine başlamadan önce uygulayacağımız testin kapsamı ileride tespit edilecek olan güvenlik açıklarına yönelik uygulanacak stratejinin belirlenmesi sızma testinin planlama aşamasında yapılmaktadır. Ayrıca planlama aşamasında penetrasyon testinin kapsamı ve uygulanacak metotlar hakkında da karar verilmektedir.
Tarama
Penetrasyon testinin ikinci aşaması ise taramadır. Daha çok tarama işlemi network ağlarında açık portların tespit edilmesi şeklinde yapılmaktadır. Tarama sırasında tespit edilen bu açıklar penetrasyon testi aşamalarında kullanılmak üzere kayıt altına alındığı aşamadır.
Zafiyet Taraması
Penetrasyon testi aşamaları arasında en önemli aşamanın zafiyet taraması olduğunu söylemek yanlış olmayacaktır. Bu aşamada network ağları ile web uygulama veya mobil uygulamadaki zafiyetler detaylı olarak araştırılmaktadır.
Penetrasyon Testi Aşamalarında Zararlı Yazalım ve Exploit Kullanımı
Zararlı yazılımların bilişim sistemlerine sızma halinde telafisi güç hatta imkansız veri kayıpları ile karşılaşılması mümkündür. Ayrıca söz konusu verilerin kötü niyetli kişilerce ele geçirilmesi durumunda da ciddi yaptırımlarla karşılaşılabilmektedir. Bu nedenle penetrasyon testi aşamaları arasında zararlı yazılım ve exploit kullanımı ayrı bir öneme sahiptir. Yukarıda genel tarama ve zafiyet taraması sırasında tespit edilen açıklıklar kullanılarak zararlı yazılım veya exploit ile sisteme sızma girişimi hatta yetki yükseltme girişimleri de sızma testinin bu aşamasında test edilmektedir.
Penetrasyon Testi Aşamalarının Raporlanması
Yukarıda belirtmiş olduğumuz penetrasyon testi aşamaları ile tespit edilen sistem açıklıklarının raporlanmasıdır. Genel olarak sızma testi sırasında tespit edilen zafiyet ya da açıklıklar rapor halinde sistem yetkililerine sunulmaktadır. Ayrıca raporlama aşamasında sızma testi aşamasında tespit edilen zafiyetlerin giderilmesi için gerekli önlemler konusunda önerilere de yer verilmektedir.
Yazılımda penetrasyon testi aşamaları
Penetrasyon testlerinin sık uygulama alanlarından birisi de yazılımlar ve uygulamalardır. Herhangi bir yazılım siber güvenlik açısından riskler barındırıp barındırmadığı yine sızma tesit ve penetrasyon testi uygulamaları ile tespit edilebilmektedir. Yukarıda belirtmiş olduğumuz sızma testi aşamaları ile yazılımda penetrasyon testi aşamaları benzerlik göstermektedir. Yine kısmen farklı yönleri olması nedeniyle yazılımda sızma testi aşamalarını aşağıdaki ana başlıklar halinde sıralamamız mümkündür.
1 | Bilgi Toplama |
2 | Yüzey Düzey Analizi |
3 | Zafiyet Tespiti |
4 | Saldırı Aşaması |
5 | Erişim (Access) |
6 | Harekete Geçme |
7 | Raporlama |
Sızma Testi Çeşitleri
Penetrasyon testleri veya sızma testleri zaman zaman ihtiyaç doğrultusunda değişik alanlarda yapılabilmektedir. Genellikle bunlara siber güvenlik alanında sızma testi çeşitleri denilmektedir. Sık uygulamadığımız ve siber güvenlik açısından önem arz eden sızma testi çeşitleri genel olarak aşağıdaki gibidir.
- Network (Yerel Ağ) Sızma Testi
- Web uygulama sızma testi
- Mobil uygulama sızma testi
- DDOS saldırıları
- Sosyal mühendislik güvenlik testleri
- Kaynak kod analizi
- Cloud sızma testi
- Voip analizi
Penetrasyon Testi Zorunlu Mu?
Bilişim sistemlerindeki gerekli güvenlik önlemlerinin alınması konusunda sistem yetkilileri birinci derecede sorumludurlar. Avrupa Birliği uyum yasaları çerçevesinde ülkemizde de uygulanmaya başlayan Kişisel Verileri Koruma Kanunu çerçevesinde her işletme ve kuruluş hizmet vermiş olduğu alanda müşterilerin ve kullanıcılarının kişisel verilerini korumakla mükelleftirler.
Penetrasyon testi zorunlu mu? Sorusuna bu açıdan cevap vermek gerekirse zorunlu olduğunu söylemek mümkündür. Şöyle ki penetrasyon testinin zamanında ve yetkili kişilerce yapılmamasına bağlı olarak herhangi bir veri kaybına neden olması durumunda Kişisel Verileri Korumu Kurumu tarafından idari para cezası ile cezalandırılması mümkündür.
Penetrasyon Testinin Önemi
- Penetrasyon testi aşamaları ile uygulanan tüm bu işlemler sisteme hacker gözü ile bakılarak gerçekleştirilmektedir. Olası bir siber saldırı veya tehdidin gerçekleşmeden önlenmesi açısından penetrasyon testinin önemi oldukça fazladır.
- Sızma testleri ile sistem açıklıkları ve zafiyetlerinin tespit edilmesi ile birlikte ayrıca sistemin verimliliği de test edilmektedir.
- Bilişim sistemlerinde veri güvenliği ayrıca bir öneme sahiptir. Penetrasyon testi ile tespit edilen sistem zafiyetlerinin veri kaybına yol açabilecek nitelikte olup olmadığı tespit edilerek gerekli önlemlerin alınması sağlanmaktadır.
- Sistemin sağlıklı ve sürekli bir şekilde çalışması şirket ve kuruluşlar için önemlidir. Sistem açıkları kullanılarak sistemin işleyişine müdahale edilmesi mümkündür. Ancak gerekli sızma testlerinin zamanında yapılması ile bu risklerin ortadan kaldırılması dolayısıyla sistemin sağlıklı bir şekilde çalışmasını sağlanmış olacaktır.
- Son olarak veri kaybına neden olunması önlenmektedir. Bu sebeple işletme ve kuruluşumuzun güvenirliği artmış olacaktır. Ayrıca gerekli önlemlerin alınmaması nedeniyle bir veri kaybına neden olunması halinde idari yaptırımlarla karşılaşılmasının önü kapatılmaktadır.
Penetrasyon Testini Kimler Yapabilir?
Yukarıda da görüldüğü gibi sızma testi ve penetrasyon testi sistem güvenliği açısından oldukça önemlidir. Bu nedenle konusunda uzman kişilerce yapılması önerilmektedir. Günümüzde birçok şirket siber güvenlik ve penetrasyon testi konusunda hizmet vermektedir. Ancak daha önce de belirttiğimiz gibi penetrasyon testi aşamaları eksiksiz bir şekilde yerine getirilmesi gerekmektedir. Bu şekilde etkili bir sızma testinden bahsetmek mümkündür. Siber güvenliğin önemi her geçen gün artmaktadır. Hatta bir çok durumda dahi penetrasyon testi zorunlu hale gelmiştir. Buna bağlı olarak bu gün bir çok işletme siber güvenlik analistliği ve operatörlüğü adı altında personellere kadrolarında yer vermektedirler.
Sık Sorulan Sorular
Penetrasyon Testi Yasal Mıdır?
Penetrasyon testi sistem yetkililerinin izin ve bilgileri dahilinde yapılan işlemlerdir. Bu nedenle yasaldır. Hatta bazı durumlarda ise penetrasyon testi yapılması zorunludur.
Penetrasyon Testinin Amaçları
Penetrasyon testi veya sızma testlerinin genel amaçları siber zafiyetlerin saldırı aşamasına geçilmeden önce tespit edilmesidir. Bu şekilde herhangi bir siber zafiyetten dolayı zarara uğramadan veya veri kaybına neden olmadan önce gerekli önlemler alınmaktadır.
Penetrasyon Testi Yapan Firmalar
Penetrasyon testi siber güvenlik alanında ayrı bir öneme sahip uygulamadır. Bu alanda ayrıca bir uzmanlık gerektiren bir konudur. Bir çok ülkede olduğu gibi ülkemizde de yasal boyutlarda penetrasyon testi yapan firmalar oldukça fazladır.
Penetrasyon Testi Aşamalarına Uyulması Gereken Kurallar
Penetrasyon testi aşamaları yerine getirilirken bir takım hukuki ve etik kurallara uyulması zorundur. Bu kurallara uyulmadığı takdirde penetrasyon testinin yasallığından da söz etmek mümkün değildir. Bu nedenle bu kurallara uygun olarak gerçekleştirilmesi gerekmektedir.
- İzin
- Penetrasyon Testi Sözleşmesi
- Sözleşmeye Bağlı Kalmak
- Yasal Sınırlar Dışına Çıkmamak
Author Profile
Latest entries
- Genel9 Eylül 2024Siber Güvenlik Alanında Kariyer Önerileri
- Genel2 Eylül 2024Trojan Virüsü Nasıl Temizlenir
- Güvenli İnternet26 Ağustos 2024Bilgi Güvenliği Uzmanı Nedir, Ne İş Yapar?
- Siber Güvenlik19 Ağustos 2024Siber Güvenlik Uzmanı Nedir?
Penetrasyon testi aşamalarında derslerde her zaman takılıyorum bunalttı bu bölüm beni artık