Sızma Testi (Penetrasyon Testi) Tanımı ve Sızma Testi (Pentest) Metodolojileri
Sızma (Penetrasyon) Testi Nedir? Kurum ve kuruluşların dijital güvenliğini sağlamak amacıyla alanında uzman kişiler tarafından sunulan sızma testi hizmeti bir red team hizmetidir. Bu yazımızda da Pentest Nedir? sorusuyla birlikte PenatrasyonTesti Metolodojileri Nelerdir? Kime Yaptırmalıyım? ve Neden Pentest Hizmeti Almalıyım? gibi soruları yanıtlıyor olacağız.
Sızma (Penetrasyon) Testi Nedir?
Sızma testi (pentest) kurum zafiyetlerini tespit etmek ve bu zafiyetlere karşı gerekli güvenlik önlemlerini almayı sağlamak için sızma testi uzmanları tarafından sunulan bir güvenlik hizmetidir. Siber güvenlik uzmanı bir red team üyesi olup OSCP, TSE ve CEH gibi sertifikalara sahip kişidir. Pentest çalışması ile hedefe belirtilen kapsam dahilinde veya tamamen uzmanın kendisinin tespit edeceği kapsam dahilinde çeşitli güvenlik testleri gerçekleştirilir. Pentest uzmanı saldırganların uygulayacağı tüm saldırı vektörlerini hedef sisteme karşı uygulayarak potansiyel güvenlik risklerini ve zafiyetlerini tespit edip raporlar. Sunulan bu hizmete ise “sızma testi hizmeti” denilmektedir.
Sızma Testi (Pentest) Metodolojileri Nelerdir?
Sızma testi temelde 3 metodolojiden oluşmaktadır; blackbox, greybox ve whitebox. Blackbox pentest metodolojisi kurum tarafından herhangi bir bilgi sağlanmadan, tamamen Açık Kaynak İstihbaratı (OSINT) çalışmaları ile kapsamın tespit edildiği metodolojidir. Blackbox sızma testinde, ilgili uzman kurum domainlerini, IP adreslerini ve subdomainlerini tek tek tespit ederek güvenlik testlerini gerçekleştirir.
Greybox pentest metodolojisi ise kurum tarafından belirli bilgilerin uzmana sunulduğu metodoloji türüdür. Greybox metodoloji uygulanan sızma testleri blackbox sızma testine göre daha hızlı sonuç vermektedir. Pentest uzmanı kurum hakkında bilgi sahibi olduğu için daha hızlı hareket edebilmekte ve kapsamını daha hızlı genişletebilmektedir.
Whitebox penetrasyon testi metodolojisi kurum tarafından uzmana her türlü bilginin verildiği, kullanıcıların tanımlandığı metodolojidir. Whitebox penetrasyon testi en hızlı sonuç veren pentest metodolojisidir. Uzman kapsam genişletmekle, kullanıcı hesapları oluşturmakla ve saldırı yüzeyini genişletmeye çalışmakla vakit kaybetmeden direkt olarak güvenlik zafiyetlerini tespit etmeye odaklanır. Böylelikle daha kısa sürede sonuç alınabilir.
Sızma Testi Çeşitleri Nelerdir?
Sızma testi çeşitleri test sırasında hedeflenen ağ tipine göre belirlenmektedir. Pentest uzmanları tarafından sunulan pentest çeşitleri şunlardır:
- Yerel Ağ Sızma Testi: Test kapsamının kurum yerel ağ içerisinde bulunan sistemler olduğu sızma testidir. Yerel ağ pentest çalışmasında Aktif Dizin, NetBIOS ve Domain Controller gibi yapılarda bulunan güvenlik zafiyetleri tespit edilir.
- Dış Ağ Sızma Testi: Pentest çalışmasının kurum dış ağ IP adresleri hedef alınarak gerçekleştirildiği pentest çeşididir. Dış ağ sızma testi çalışmasında kurumun internet üzerinden erişilebilen tüm kaynakları kullanılarak yerel ağa erişim sağlanmaya çalışılır.
- Web Uygulama Sızma Testi: Web uygulama güvenliğini sağlamak amacıyla gerçekleştirilen web uygulama pentest kurum domainlerinde bulundurulan web uygulamalarını hedef alır. Web uygulama penetrasyon testi çalışması ile kurum web uygulamaları OWASP referans alınarak saldırgan bir bakış açısıyla incelenir.
- SCADA Sızma Testi: Dağıtık Kontrol Sistemler ve I/O sistemleri gibi kapalı sistemleri ifade eden SCADA sistemler için gerçekleştirilen sızma testi hizmetidir.
- Kablosuz Ağ Sızma Testi: Wireless cihazları üzerinden paylaşılan ağ bağlantısını hedef alan kablosuz ağ pentest çalışması kurum içerisindeki Wi-Fi güvenliğini korumayı hedefler. Kablosuz sistemlerdeki güvenlik zafiyetleri tespit edilerek bu zafiyetlerin giderilmesi amaçlanır.
Kime Sızma Testi (Pentest) Yaptırmalıyım?
Pentest hizmeti kesinlikle alanında uzman personeller tarafından sunulması gereken bir siber güvenlik hizmetidir. Sızma (penetrasyon) testi yaptırmak istediğiniz firmanın ilgili personellerinin gerekli tecrübeye sahip olduğundan emin olmalısınız. Ayrıca BDDK/KVKK Uyumlu Sızma Testi için uzmanların TSE gibi gerekli sertifikalara sahip olup olmadığını kontrol etmelisiniz.