Sızma Testi

Sızma Testi2019-12-04T13:33:40+03:00

Pentesting veya ethical hacking olarak da adlandırılan penetrasyon (Sızma) testi, bir saldırganın yararlanabileceği güvenlik açıklarını bulmak için bir bilgisayar sistemini, ağı veya web uygulamasını test etme çalışmasıdır. Penetrasyon testi, yazılım uygulamaları ile otomatikleştirilebilir veya manuel olarak gerçekleştirilebilir. Her iki durumda da, süreç testten önce hedefle ilgili bilgi toplamayı, olası giriş noktalarını belirlemeyi, zafiyetleri bulmaya çalışmayı ve bulguları raporlayarak geri bildirmeyi içerir.

Sızma testinin temel amacı güvenlik zayıflıklarını tespit etmektir. Ayrıca sızma testi; bir kuruluşun güvenlik politikasını, uyumluluk gerekliliklerine bağlılığını, çalışanlarının güvenlik bilincini ve kuruluşun güvenlik olaylarını belirleme ve bunlara müdahale etme yeteneğini test etmek için de kullanılabilir. Genellikle, sızma testi ile tespit edilen veya sömürülen güvenlik zayıflıkları hakkındaki bilgiler, stratejik kararlar almalarını ve iyileştirme çabalarını önceliklendirebilmelerini sağlamak amacıyla bir araya getirip gruplanarak ilgili kuruluşun IT ve ağ sistemi yöneticilerine sunulur.

SızmaSızma TestiTestleri

Sızma Testi Hakkında Merak Edilen Sorular

Neden Sızma Testi Yaptırmalıyız?2019-10-07T17:39:47+03:00

Sistemlerinizdeki güvenlik açıklarının siber güvenlik şirketleri tarafından kontrol edilmesi, güçlü ve zayıf yanlarının raporlanarak bilginize sunulması sistem güvenliğiniz adına büyük önem arz etmektedir.

Çünkü siz ve çalışanlarınızın güvenlik konusundaki tüm dikkat ve çabalarına rağmen, saldırganların sistemi istismar etmek adına kullanabileceği metod ve araçların ucu bucağı yoktur. Saldırganın bilgi ve tecrübe seviyesine göre ihtimaller ve riskler boyut değiştirmektedir.

Bu sebeple sistemlerinizin güvenliğini bir hacker gibi düşünüp hareket edebilen, saldırı yöntemlerini bilerek bu yöntemlere karşın önlemler alabilecek “Beyaz Şapkalı” hacker ekiplerine test ettirmeniz güvenliği sağlamak ve artırmak adına daha gerçekçi ve verimli bir adım olacaktır.

Ek olarak PCI, HIPAA, KVKK gibi standartlar Pentest (sızma testi) yaptırmayı zorunlu kılmaktadır.

Sızma Testi Yapılırken Hangi Yazılımlar Kullanılır?2019-10-07T17:39:28+03:00

Kullanılan yazılım ve araçlar otomatik tarama sağlayan yazılım ve araçlar, manuel tarama sağlayan yazılım ve araçlar olmak üzere iki başlıkta incelenebilir.

Manuel Tarama Sağlayan Yazılım ve Araçlar:

  • Metasploit
  • Nmap
  • Burp Suite
  • Aircrack-ng
  • John the Ripper
  • SqlMap

gibi örnekler verilebilir. Kali Linux dağıtımı bu tür açık kaynak kodlu penetration testing yazılım ve araçlarını sisteminde yüklü halde kullanıcılarına sunar.

Otomatik Tarama Sağlayan Yazılım ve Araçlar:

  • Nessus
  • NetSparker
  • Acunetix
  • OpenVAS

gibi örnekler verilebilir.

Sızma Testi Çeşitleri ve Yöntemleri Nelerdir?2019-10-07T17:38:54+03:00

Sızma testi çeşitlerini genel anlamda;

  • Yerel Ağ Sızma Testi
  • Dış Ağ Sızma Testi
  • Web Uygulama Sızma Testi

başlıkları altında özetleyebiliriz.

Yerel Ağ Sızma Testi: İç ağ sisteminizin gerçekten güveli olup olmadığını ve iç ağınıza sızan saldırganların sistemde nerelere kadar ulaşabileceği konusundaki sorulara çözüm üretmek için çalışmalar yapılmaktadır.

Dış Ağ Sızma Testi: İç ağ sisteminizin gerçekten güveli olup olmadığını ve iç ağınıza sızan saldırganların sistemde nerelere kadar ulaşabileceği konusundaki sorulara çözüm üretmek için çalışmalar yapılmaktadır.

Web Uygulama Sızma Testi: Web uygulamalarınızın gerçekten güveli olup olmadığını ve iç ağınıza sızan saldırganların sistemde nerelere kadar ulaşabileceği konusundaki sorulara çözüm üretmek için çalışmalar yapılmaktadır.

Sızma testi yöntemlerini genel anlamda;

  • Blackbox
  • Greybox
  • Whitebox

başlıkları altında özetleyebiliriz.

Blackbox: Blackbox testinde testi yapan kişi sistem ve sistemin iç işleyişi hakkında herhangi bir bilgiye sahip değildir. Herhangi bir sebeple ilgili sisteme sızmaya çalışan art niyetli bir kişinin ne gibi zafiyetleri kullanabileceğini, ne gibi hasarlara yol açabileceğini görmeyi amaçlayarak test yapılır.

Greybox: Graybox testinde testi yapan kişi sistem ve sistemin iç işleyişi hakkında kısmi seviyede bilgiye sahiptir. Sistem hakkında kısıtlı da olsa bilgi sahibi olan bir saldırganın bu bilgilerle ne gibi hasarlara yol açabileceğini görmeyi amaçlayarak test yapılır.

Whitebox: Whitebox testinde testi yapan kişi sistem ve sitemin iç işleyişi hakkında tüm bilgiye sahiptir. Bu yöntemde şirketinizde çalışmakta olan veya önceden şirketinizde çalışmış bir kişinin sahip olduğu bilgilerle ne gibi hasarlara yol açabileceğini görmeyi amaçlayarak test yapılır.