Penetrasyon yani Sızma testi, firmaların güvenlik duvarının bilinçli hacklendiği bir testtir. Böylece kötü niyetli birileri tarafından yaşayabileceği siber saldırıları önceden tespit edip saldırıya karşı sistemi güçlendirir. Penetrasyon test hizmeti sunan firmalar, siyah şapkalı hacker gibi davranır. Araçlarla ve yöntemlerle güvenlik duvarında bir zafiyet arar. Zafiyet bulunması durumunda sisteme hasar vermeye ve veri çalmaya çalışır. Bu test sayesinde firma güvenlik duvarlarındaki açıkları önceden öğrenir. Güvenlik duvarındaki sıkıntılar gerçek bir hacker tarafından fark edilmeden onarılır ve sistem korunur.
Penetrasyon testi; BlackBox, GreyBox ve WhiteBox şeklinde 3 farklı kategoride teste sahip.
BlackBox Penetrasyon Testi: Bu testte hacker sistem ve çalışanlar hakkında hiçbir bilgisi olmaz. Tamamen dışarıdan içeriye sızmaya çalışır. Bu test sayesinde dışarıdaki saldırılara karşı sisteminizin ne kadar güvenli olduğunu ölçebilirsiniz.
GreyBox Penetrasyon Testi: Bu testte hacker içeriden ve düşük yetkili biri olarak sisteme sızmaya çalışır. Bu test sayesinde içeriden gelecek olası saldırılara karşı sisteminizin ne kadar güvenli olduğunu ölçebilirsiniz. Firmaların genelde çalışanları tarafından hacklendiği göz önüne alındığında en önemli test, GreyBox testidir.
WhiteBox Penetrasyon Testi: Bu testte hacker içeride ve tam yetkili bir şekilde sisteme sızmaya çalışır. Bu test sayesinde yetkili birinden gelecek olası saldırılara karşı sistemin ne kadar güvenliği olduğu ölçülebilirsiniz.
Testlerin Aşamaları
Penetrasyon testi 2010 yılında oluşturulan PTES standardıyla penetrasyon tesleri 7 ana aşamaya ayrılmıştır.
-Pre-Engagement Interactions (Anlaşma Öncesi Etkileşim): Test sırasında kullanıcak yöntemlerin açıklanması, testin süresi, nelerin teste tabi tutulacağı gibi önemli detayların konuşulduğu aşamadır.
-Intelligence Gathering (Bilgi Toplama): Test hizmetinden yararlanmak isteyen firma hakkında stratejik bir atak planı oluşturmak için firmanın girdi noktalarını araştırıldığı aşamadır.
-Threat Modeling (Tehdit Modelleme): Firmanın verilerini kategorize ettikten sonra olası tehditleri de kategorize ettikten sonra kategorilere göre tehdit modellerinin oluşturulduğu aşamadır.
-Vulnerability Analysis (Zafiyet Analizi): Hackerın sızabileceği sistem ve uygulama zafiyetlerin bulunduğu aşamadır.
-Exploitation (İstismar): Güvenlik duvarından bir çatlak bulup sızdıktan sonra firmanın ana giriş noktasını bulup en önemli verilerin saptandığı aşamadır.
-Post Exploitation (İstismar Sonrası): Ele geçirilen cihazın barındırdığı verilerin değerlerinin belirlenmesi ve cihazdaki ağdan diğer cihazlara ulaşılmaya çalışındığı aşamadır.
-Reporting (Raporlama): Raporda testte kullanılan araçlar, yazılımlar, hacklemek için izlenen yollar bildirilir. Testten sonra sistemi iyileştirmek için öneriler de sonda belirtilmeli.
Penetrasyon testi teklifi için tıklayın.
