Penetrasyon Testi Nedir?
Penetrasyon terimi ilk kez tıbbi bir terim olarak kullanılmakta iken bilişim sektöründe meydana gelen gelişmelerin paralelinde günümüzde daha çok bir siber güvenlik terimi olarak kullanılmaya başlanmıştır. “penetrasyon” Fransızca kökenli bir kelime olup; İçine girme / duhul etme anlamlarını taşımaktadır. Siber güvenlik alanında ise penetrasyon testi; Sızma testleri kapsamında yer almaktadır. Ayrıca Sızma testi uygulama alanları oldukça çeşitlilik göstermektedir. Sızma testi veya penetrasyon testi siber güvenlik alanında diğer yazılarımızda değinmiş olduğumuz ofansif siber güvenlik kategorisinde yer almaktadır. Sızma testlerinin yapılması siber güvenlik için oldukça önemli bir yere sahiptir. Şöyle ki günümüzde penetrasyon testi konusunda hizmet veren kişi ve kurumlar her geçen gün artmaktadır.
Sızma Testi Teknikleri (Penetrasyon Testi Teknikleri)
İşletme ve kurumların vermiş olduğu hizmetlerde ve veri akışında kullandıkları sistemleri güvende tutmaları; Hizmetin devamlılığı ve müşteri verilerinin güvenliği bakımından zorunluluk haline gelmiştir. Bu nedenle hemen hemen her işletme sık sık sızma testi hizmeti almaktadır. Penetrasyon testlerinde genel amaç sistem açıklarını bularak bu konuda gerekli önlemlerin alınması sağlanmaktadır. Bu amaç doğrultusunda sıklıkla kullanılan sızma testi teknikleri özetle aşağıdaki gibidir.
Blackbox Pentest
Niteliği itibariyle network ağlarına yapılan sızma testlerini ifade etmektedir. Herhangi bir şekilde kötü amaçlı olarak network ağına sızma halinde sisteme geri dönülmesi zor hatta imkansız zararlar verilmesi mümkündür. Network ağına bu şekilde sızma durumunda ağda yetkisiz kişilerin ağa dahil olan ve yetkili kullanıcılara tanınmış haklara sahip olunması mümkün hale gelmektedir. İşletmeler veri güvenliği bakımından birici derecede sorumlu tutulmaları nedeniyle penetrasyon testleri anlamında en sık kullanılan sızma testi teknikleri arasında blackbox pentest gelmektedir.
Whitebox Pentest
Blacakbox Pentest sızma testinden farklı olarak network ağında kısmen de olsa yetki sahibi olan kişilerin sistem içerisinde veya sistem dışından network ağına dahil olmak suretiyle sisteme zarar verilmesinin amaçlandığı bir sızma testidir.
Greybox Pentest
Daha çok veri çalınmasını önlemeye yönelik bir sızma testidir. Network ağına yetkili olarak dahil olmuş kullanıcıların mevcut yetkilerini yükselterek sistemdeki verilen kötü amaçlı olarak başka bir sisteme aktarılmasının önüne geçilmesi amaçlanmaktadır.
Sızma Testi Uygulama Alanları
Elbette ki siber güvenlik sadece network ağlarında gereksinim duyulan bir uygulama değildir. Bunun yanında mobil uygulama, web uygulama ddos saldırıları veya bulut sistemler sızma testi uygulama alanları içerisinde yer almaktadır.
Penetrasyon Testi Aşamaları
Siber güvenlik uzmanı olarak öncelikle penetrasyon testlerinin konusunda uzman ve yetkili kişilerce yapılmasını tavsiye etmekteyiz. Bu konuda gerekli pratik ve teorik eğitimleri almamış kişilerce yapılacak olan sızma testleri amacına ulaşamayacağı gibi sisteme zararlar vermesi de olasıdır. Her biri bilgi ve beceriyi gerektiren penetrasyon testi aşamaları genel hatları ile aşağıda belirtilmiştir.
Sızma Testi Aşamaları
- Sızma testinin ilk aşması testin kapsamının belirlenmesidir. Yukarıda sızma testi teknikleri başlığı altıda belirtmiş olduğumuz; Blackbox Pentest, Whitebox Pentest ve Greybox Pentest tekniklerinden hangisinin veya hangilerinin uygulanacağı sistem sahibi ve siber güvenlik uzmanı tarafından kararlaştırılarak sonraki sızma testi aşamalarına geçilmektedir.
- Sızma testinin kapsamının belirlenmesinden sonra mevcut sistem hakkında bilgi toplama aşamasına geçilmektedir. Bu aşamada sistemin işleyici ve sistemin çalışmasında kullanılan teknikler hakkında gerekli bilgiler sızma testinin diğer aşamalarında kullanılmak üzere kayıt altına alındığı aşamadır.
- Penetrasyon testlerinin en önemli aşaması ise zafiyet taramasıdır. Sistemin çalışma prensibine en uygun siber güvenlik uygulamaları tespit edilerek zafiyet taraması yapılmaktadır. Zafiyet taraması sonrasında sistemde tespit edilen açıklıklar kayıt altına alınarak söz konusu zafiyetlerin giderilmesi konusunda işletme yetkilisine öneriler sunulmaktadır.
İstismar Etme
- Penetrasyon testinin dördüncü aşaması ise “istismar etme” aşamasıdır. Bilgi toplama sonrasında ve bir önceki aşamada olan zafiyet taraması ile tespit edilen sistem açıklıkları kullanılarak sisteme girilme amaçlanmaktadır. Özellikle istismar etme aşaması oldukça dikkat ve özen gerektiren bir aşama olup mutlaka konusunda uzman kişilerce gerçekleştirilmesi gerekmektedir.
- Bu aşamada istismar etme aşaması ile sisteme dahil olma veya mevcut kullanıcının yetkilerinin yükseltilmesinin mümkün olup olmadığı konusunda gerekli araştırmalar yapılmaktadır.
- İstismar etme aşamasında kullanılan sızma yöntemlerinden herhangi birisinin başarılı olması sonucu sisteme yetkili olarak dahil olunabilmektedir. Bu şekilde bir erişim sağlanması sonucu network ağındaki diğer hesapların yine sızma yöntemi ile ele geçirilerek oturum açma bilgilerinin dinleme şeklinde ele geçirilip geçirilemeyeceği konusunda araştırmalar yapılması penetrasyon testinin bir başka aşamasıdır.
- Penetrasyon testinin son aşaması raporlama aşamasıdır. Sızma testi teknikleri kullanılarak; Yukarıda belirtmiş olduğumuz penetrasyon testi aşamalarında tespit edilen güvenlik açıklarının raporlanarak işletme sahibi veya yetkilisine iletilerek siber güvenlik amacı ile yapılan sızma testine son verilmektedir.
Penetrasyon Testi Neden Yapılır?
Her ne kadar penetrasyon testleri “sızma” testi olarak da anılmakta ise de; Sızma testleri herhangi bir şekilde kötü niyetli olarak hakaret edilmemesi sonucu tamamen siber güvenlik alanında yapılan bir çalışmadır. Bu nedenle daha çok siber güvenliğin “ofansif siber güvenlik” kategorisinde yer almaktadır. Bilişim sistemleri kullanılarak verilen hizmetlerin bir çoğu kendi bünyelerinde bilişim personeli veya siber güvenlik uzmanı kadrolarına yer vermektedir. Ancak bu kişiler daha çok defansif siber güvenlik alanında görevler üstlenmektedirler. Bu durumun siber güvenlik açısından tamamen yeterli olduğunu söylemek mümkün değildir. Buna ilave olarak sisteme tamamen yabancı kişilerin sisteme zarar verebilip veremeyeceği de test edilmesi oldukça önemlidir. Kısaca penetrasyon testleri sistem açıklarının tespit edilerek bu konuda gerekli önlemlerin alınması amacı ile yapılmaktadır.
Sızma Testi Zorunlu Mu?
Bilişim teknolojileri kullanılarak verilen hizmetler her geçen gün artmaktadır. Bu nedenle bilişim sistemlerinin hayatımın her anıda karşımıza çıktığını söylemek yanlış olmayacaktır. Sağlamış olduğu bir çok kolaylığın yanında bilişim sistemlerinin kullanılması risk unsuru taşımaktadır. Siber güvenlik hizmetleri ve siber güvenlik uzmanlarında bu riskler en aza indirilebileceği gibi tamamen bertaraf da edilebilmektedir. Özel hayatın gizliliği ve kişisel verilerin korunması evrensel bir kural haline gelmiştir. Bunların ihlal edilmesi madde manevi oldukça büyük zararlara neden olabilmektedir.
Mevcut düzenlemeler dikkate alındığında bir çok kurum ve kuruluşta penetrasyon testlerinin (sızma testi) yapılması yönünde yasal bir zorunluluk bulunmamaktadır. Ancak siber güvenlik açıkları nedeniyle oluşabilecek kayıplardan dolayı kişi ve kurumlar ciddi yaptırımlara maruz kalabilmektedir. İşte bu sorumluluk gereği penetrasyon testinin sızma testi uygulama alanının niteliğine göre artık günümüzde belirli aralıklarla yapılması gerektiğinin zorunlu hale geldiğini söylemek mümkündür.
Author Profile
Latest entries
- Genel9 Eylül 2024Siber Güvenlik Alanında Kariyer Önerileri
- Genel2 Eylül 2024Trojan Virüsü Nasıl Temizlenir
- Güvenli İnternet26 Ağustos 2024Bilgi Güvenliği Uzmanı Nedir, Ne İş Yapar?
- Siber Güvenlik19 Ağustos 2024Siber Güvenlik Uzmanı Nedir?