SIZMA TESTİ (PENTEST) NEDİR?

Blog geri dön
Sızma testi günümüzde her kurumu ilgilendiren bir konu haline gelmiştir.

Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.

Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.

Penetrasyon testi, özetle bir sistemin saldırıya ne kadar savunmasız olduğunu ölçme testidir denilebilir.

Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.

Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.

Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.

Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.

Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.

Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.

Sızma testinin yapılması ve raporlanmasının ardından  kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.

ZETU Teknoloji olarak bu sürece bir de 1 günlük Workshop ekledik ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri sunabiliyoruz.
Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.
Sızma testi günümüzde her kurumu ilgilendiren bir konu haline gelmiştir.

Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.

Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.

Penetrasyon testi, özetle bir sistemin saldırıya ne kadar savunmasız olduğunu ölçme testidir denilebilir.

Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.

Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.

Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.

Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.

Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.

Bu noktada, zafiyet taraması ile sızma testinin farklarını anlayabilmek için “Sızma Testi Mi?Zafiyet Taraması Mı?” başlıklı makalemizi okumanızı öneririz.

Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.

Sızma testinin yapılması ve raporlanmasının ardından  kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.

ZETU Teknoloji olarak bu sürece bir de 1 günlük Workshop ekledik ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri sunabiliyoruz.
Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.

SIZMA TESTİ ÇEŞİTLERİ NELERDİR?

Kuruluş ihtiyacına bağlı olarak, sızma testi kapsamında testler 3 ana vektör üzerinden yapılır:
İç ağdan yapılacak sızma testleri: Kuruluş ağının içinde bir erişim noktası kullanılarak yerel ağ ve bu ağa bağlı sistemler test edilir.
Dış ağdan yapılacak sızma testleri: Kuruluşa ait ve internet üzerinden erişilebilen sistemler test edilir.
Web uygulama sızma testleri: Web uygulamaları üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği test edilir.

SIZMA TESTİNDE
HANGİ HİZMETLER VERİLİR?

– Sistemlerin keşif ve tarama çalışmaları

– Sistemler ve ağ üzerindeki zafiyetlerin tespit edilmesi
– Tespit edilen zafiyetlerin istismar edilmesi
– Saldırı simülasyonu kapsamında manüel sızma testlerinin yapılması
– Raporlama (Tespit edilen zafiyetlerin giderilmesi için önerilerin sunulması)
– Workshop: Siber güvenlik ve etik hacking
– Kontrol testleri
– Kontrol testinin raporlanması

Blog geri dön