Penetrasyon Testi / Pentest (Sızma Testi)


Penetrasyon (pentest) terimi, İngilizce “Penetration Test” kavramının kısaltması ve Türkçe karşılığı Sızma Testi’dir. Penetrasyon Testi; firmaların bilişim sistemlerini oluşturan altyapı, donanım, yazılım ve uygulama gibi bileşenlere bir saldırganın izlemesi öngörülen teknikler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanımıyla ilgili sistemlere sızılması, tespit edilen zafiyetlerin nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.

Karıştırılan İki Terim: Zafiyet Analizi ve Sızma Testi (Pentest)

Sızma testinin yanı sıra Zafiyet Analizi (Vulnerability Assessment) de sektörde sıklıkla duyulan ve birçok kişi tarafından pentest kavramıyla karıştırılan bir terimdir. Zafiyet analizi, otomatik tarama araçları(Nessus, Acunetix vb.) ile ilgili sistemlerdeki güvenlik açıklıklarının bulunması için yapılan bir testtir ve çalışma kapsamı Pentest’e göre daha sınırlıdır. Gerçekleştirilen testin amacı ile ilgili firmanın bilişim sistemlerinin güncel güvenlik durumu hakkında bilgi sahibi olmaktır. Öte yandan sızma testinde ise, sistemler üzerinde tespit edilen zafiyetler istismar edilir.

Pentest (Sızma Testi) Yaklaşımları

Sızma testleri yaklaşım türüne göre 3 farklı şekilde gerçekleştirilir;

  • Kara Kutu (Black Box) Yaklaşımı
  • Beyaz Kutu (White Box) Yaklaşımı
  • Gri Kutu (Gray Box) Yaklaşımı

Black box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında herhangi bir bilgi verilmez. Bu yaklaşımdaki asıl amaç ilgili sistem hakkında hiçbir bilgi sahibi olmayan saldırganın sisteme verebileceği zararların görülmesidir. Test süresi diğer yaklaşımlara göre en uzun olan yaklaşımdır.

White Box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında tüm bilgiler testi gerçekleştirecek ekip ile paylaşılır. Bu yaklaşımdaki asıl amaç ise eski ve mevcut çalışanların ilgili sistemlere verebileceği hasarın tespit edilmesidir. Test süresi diğer yaklaşımlara göre en kısa olan yaklaşımdır.

Grey Box: Siyah ve beyaz kutu yaklaşımlarının arasında kalan bu yaklaşımda ise penetrasyon testleri kapsam dahilindeki sistemler hakkında detaylı bilgilendirme alınmadan gerçekleştirilir. Bu yaklaşımdaki amaç ise düşük yetkili kullanıcıların sistemlere verebileceği zararların tespitidir. Test süresi olarak beyaz kutu yaklaşımından daha uzun, siyah kutu yaklaşımına göre daha kısadır.

Neden Penetrasyon Testi Yapılmalı?

Gelişen teknoloji ile birlikte firmalarda bilişim sistemlerinin kullanımı her geçen gün artmakta. Artan kullanım ile birlikte siber güvenlik tarafında dikkat edilmesi gereken unsurlar da artmaktadır. Firmaların bilişim sistemlerinin güvenliğinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliği ilk adımıdır.

Penetrasyon Testi’nin Kurumlara Faydaları

  • Oluşabilecek güvenlik açıklıklarının düzeltilmesi için harcanacak insan gücünün azaltılması,
  • İş sürekliliğinin bozulmasına neden olabilecek kesintilerin engellenmesi,
  • Yasal zorunluluklara (PCI-DSS, ISO27001, HIPAA vb.) uyum,
  • Bilişim Teknolojileri kaynaklı risklerin azaltılması,
  • Firma imajının ve güvenilirliğinin korunması.

Penetrasyon Testi Yaptırırken Dikkat Edilmesi Gerekenler

  • Pentesti gerçekleştirecek firmanın objektif ve müşteri için en doğru çözümleri verebilecek bir firma olması.
  • Pentest kapsamının ne olduğu; sadece iç ağ mı, uygulamalar mı yoksa tüm altyapı mı?
  • Pentest sırasında gerçekleştirelecek çalışmalar. (Hizmet engelleme saldırıları (DoS), Sosyal mühendislik saldırıları vb.)
  • Pentestin ne sıklıkla tekrarlanacağı.
  • Pentestin İnternet üzerinden mi yoksa kuruma ait iç ağda mı gerçekleşeceği.

Gerçekleşen Pentest Sonrasında Oluşturulacak Raporda Olması Gerekenler

  • Yönetici ve teknik çalışanlar için hazırlanmış raporlar,
  • Tespit edilen zafiyetlere ait ekran görüntüleri ve detaylı bilgi,
  • Tespit edilen güvenlik açıklarının nesnel yöntemlere göre gruplanarak değerlendirilmesi,
  • Tespit edilen güvenlik açıklarının nasıl giderileceğine dair teknik bilgi ve referanslar,
  • Test sırasında tespit edilen kritik seviye zafiyetlerin pentesti gerçekleştiren firma tarafından anında bildiriliyor olması.

Lostar Security CheckUp

Security CheckUp hizmet portföyü, şirketlerin farkında olmadıkları güvenlik açıklarının saptanmasını ve iyileştirilmesini amaçlar. Pazarda buna benzer hizmetlere verilen ad Penetrasyon Testi’dir. Ancak Lostar Security CheckUp, penetrasyon testlerinden çok daha fazlasıdır.

Lostar,  firmaların Bilgi Teknolojileri (BT) güvenlik seviyesini görmeyi sağlayan bir dizi çözüm sunar. Birbirini tamamlayan, BT güvenliği konusunda resmin bütününün görülmesini sağlayan altı farklı çözümle, ihtiyaca bağlı olarak tek tek ya da bir arada BT güvenliğinin aksayan yönlerini, gelişmeye açık noktalarını, dış ve iç tehditlere karşı alınması gereken önlemleri ortaya koyar.

Internet Security CheckUp: İnternet üzerinde çalışan saldırganların bakış açısıyla, tüm güvenlik önlemlerinizin bir arada yarattığı yapıyı ölçüyor, sonuçları göz önüne seriyoruz.

Intranet Security CheckUp: Hem saldırganların bakış açısıyla, hem de güvenlik uzmanı yaklaşımıyla çalışıyoruz. Kapsam dahilindeki cihazların tasarımını, dayanıklılığını ve ayarlarını kontrol ediyoruz. Güvenlik seviyesini ortaya çıkarıyor ve raporluyoruz.

DoS (Denial of Service) Security CheckUp: Bir saldırgan tarafından sisteminiz çalışmaz hale getirildiğinde ne yapacağınız konusunda yanıt bulmanıza yardımcı oluyoruz.

Application Security CheckUp: Kendi özel yazılımlarınızı kendiniz geliştiriyor/geliştirtiyorsunuz. Bununla ilgili tüm sorularınızın yanıtlarını, mevcut ve potansiyel güvenlik açıkları ile birlikte bu hizmetle ortaya çıkartıyoruz.

Social Engineering Security CheckUp: Çalışanların farkındalık seviyesini saptadığımız bu hizmetle insan faktöründeki eksikleri ve problemleri belirliyoruz.

Process Security CheckUp: Yaptığınız çalışmalar ve yaşadığınız değişiklikler sonucu güvenliğiniz bozulabilir mi, verileriniz dışarıya sızabilir mi? Bu tip sorularınızın hepsine süreç değerlendirme hizmetimizle yanıt buluyoruz.

Neden Lostar?

  • 1998’den bu yana birikmiş sektör tecrübesi,
  • Ürün bağımsız denetim ile kurumlar için en doğru ve objektif çözümler,
  • Uzman siber güvenlik kadrosu,
  • Yönetici ve teknik kadrolara uygun raporların hazırlanması.

Penetrasyon testi danışmanlık hizmetlerimiz hakkında ayrıntılı bilgi almak ister misiniz? Lütfen iletişime geçiniz.

Leave A Comment