Pentest – Penetrasyon testi veya Sızma testi nedir ? Nasıl yapılır? Biz bu hizmet kapsamında size veya kurumunuza ne vaad ediyoruz ?
Basit haliyle Penetrasyon Testi, kötü amaçlı bir saldırganın içeriden yada dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur.
Penetrasyon testi; firmaların bilişim sistemlerini oluşturan ağ altyapılarına, kötü niyetli birinin muhtemel saldırı yollarını öngörerek, aynı yöntemle dahil olmak ve düzeltilmesi gereken açıkları size bildirmektir.
Donanımlar, yazılımlar, uygulamalar veya çeşitli yöntemlerle sizin altyapınızı kullanarak yapılan saldırı ve müdahaleler ile güvenlik açıklarınızın tespit edilmesi, tespiti yapılan açıklarla sisteme sızılmaya çalışılması ve tüm bu işlemlerin sonuçlarının size raporlanmasıdır da diyebiliriz.
Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, risklerini ve erişilebilirliğini ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan, sistemlere zarar vermemek ve geri dönüşü olmayan sonuçları engellemek adına, mutlaka uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Penetrasyon Testinin Amacı Nedir?
- Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek
- Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak
- Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak
- Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek
- Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
- Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
- Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
- Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak
- Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek
Penetrasyon Testinin Çeşitleri Nelerdir?
White Box Penetrasyon Testi: Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır.
Black Box Penetrasyon Testi: Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz sadece hedef verilir. Bilgi sızdırmak yada zarar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak verilebilecek zararlar gözetilir ve raporlanır.
Gray Box Penetrasyon Testi: White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Gray Box’ta ek olarak çeşitli yetkilerle sisteme sızma denetimleri gerçekleştirilir.
Penetrasyon Testi – Pentest Araçları
- Kali Linux
- Nmap
- Metasploit
- Wireshark
- John the Ripper
- Hydra
- Burp Suite
- Zed Attack Proxy
- Sqlmap
- Aircrack-ng
Penetrasyon testi, şirketin güvenlik becerilerini üst düzeyde tutmak, dışarıdan gelebilecek saldırıları görüp önlemler almak, sistemlerinize yapılan yatırımı güvende tutmak ve en önemlisi de güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için yapılmalıdır.
Detaylı Bilgi ve Fiyatlandırma İçin: info@cemalmetehayirli.com.tr adresinden bana ulaşabilirsiniz.
