09 Ocak 2023

Sızma (Penetrasyon) Testi Nedir?

Sızma (Penetrasyon) Testi Nedir?

Belirlenen bilişim sistemlerindeki zafiyetleri tespit ederek, sistemleri daha güvenli hale getirmek maksadıyla gerçekleştirilen güvenlik testleridir.

Pentest Nedir?

Belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak gerçekleştirilen güvenlik testleridir. Pentest çalışmalarındaki asıl amaç, zafiyeti tespit etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir.

Sızma (Penetrasyon) Testi Nasıl Yapılır?

Kurumların bilişim altyapısın içerisinde barındırdığı tüm sistemler, alanında uzman kişiler tarafından saldırganın kullanabileceği araç ve yöntemleri kullanarak sızılması ve elde edilen zafiyet sonuçlarının raporlanmasıdır.

Sızma Testi Süreçleri Nasıl Yürütülür?

Testin yapılacağı hedef sistemler müşteri tarafından belirlenir ve test edilecek sistemler hakkında testi yapan kuruma bilgi verilir. Gerekli sözleşmeler imzalandıktan sonra müşteri onayı ile testin yapılacağı IP adresi müşteri ile paylaşılır, böylelikle kuruma farklı IP adresinden gelen saldırıların test olup olmadığı anlaşılması sağlanır. Teste başlanılır, kritik bulgular test esnasında müşteri ile paylaşılırken, düşük seviyeli bulgular/zafiyetler test sonunda kritik bulgularla beraber raporlanır ve test sonlanır.

Sızma (Penetrasyon) testi PCI-DSS, ISO 27001, CoBIT gibi uluslararası standartların yanı sıra Türkiye’de BDDK, EPDK ve SPK gibi regülatörler tarafından da yapılması zorunlu tutulan çalışmalardan biridir.

Sızma Testi Aşamaları Nelerdir?

1. Kapsam Belirlenmesi

Müşteri, testin yapılmasını istediği hedefi/kapsamı belirler. Testin yaklaşım türüne göre (Black Box, White Box, Gray Box) testi yapacak olan firma ile bilgiler paylaşılır.

2. Bilgi Toplama

Kapsam/Hedef hakkında pasif (sistem ile doğrudan etkileşime geçmeden) ve aktif (sistem ile doğrudan etkileşime geçerek) bilgi toplama işlemi gerçekleştirilir. Bunlara; kullanılan teknoloji, uygulama ve versiyon bilgisi, fonksiyonlar gibi bilgiler örnek gösterilebilir.

3. Güvenlik Açığı Tespiti

Toplanan bilgiler ışığında var olan güvenlik açıklıklarının belirlendiği aşamadır. Otomatize araçlar kullanılarak taranan sistemler, tarama sonrasında/esnasında uzmanlar tarafından manuel olarak test edilir. Bilgi toplama aşamasında tespit edilen servis ve versiyon bilgisi araştırılarak var olan bir güvenlik açığı olup olmadığı kontrol edilir.

4. Bilgilerin Analizi ve Planlama

Tespit edilen güvenlik açıklıklarının sömürülmesi için gerekli araştırmalar yapılarak sömürü kodları, zararlı yazılımlar gibi ofansif araçlar hazırlanır.

5. Sömürü Aşaması

Tespit edilen zafiyetler saldırgan bakış açısı ile sömürülmeye çalışılır ve zafiyetin sistem üzerindeki etkileri incelenir. Saldırgan, sisteme yetkisiz giriş yapabiliyor mu? Servisi durdurabiliyor mu? Gibi sorulara cevap aranır.

6. Yetki Yükseltme/Sömürü Sonrası Aşama

Saldırgan sisteme erişim elde ettikten sonraki aşamada halihazırdaki yetkilerini yükseltebilecek mi? Yetkisi olmayan dosyaları görebilecek mi? Veya sızılan sistem/ler kullanılarak nasıl ilerlenebilir? Ne gibi kritik dosyalara erişim sağlanabilir? Gibi sorulara yanıt aranır. Saldırganın sömürü sonrası yapacağı teknik/taktik/prosedürler simüle edilmeye çalışılır.

7. Temizlik

Test edilen sistemlerde yapılan değişiklikler geri alınır. Test için oluşturulan/yüklenen dosyalar sistemden temizlenir.

8. Raporlama

Yukarıdaki adımların özeti çıkarılır. Var olan veya ileride oluşabilecek potansiyel riskler, alınması gereken önlemler gibi bilgiler raporlanır.

Güvenlik Testleri Neden Gerekli?

Sürdürebilirlik

Bilişim altyapısı bir kurumun can damarıdır ve kontrol altında olmaması iş akışlarını durma noktasına getirebilir. Bu nedenle bilişim altyapınıza yapılacak saldırılara önceden hazırlıklı olmalısınız.

Veri ve İtibar Kaybı Riski

Bilişim sistemlerinize yapılacak herhangi bir saldırıda hassas verilerinizi kaybedebilir, marka itibarınız da zarar görebilir. Bu nedenle hassas verilerinizin güvende olduğundan her zaman emin olmalısınız.

Regülatif Zorunluluklar

KVKK, PCI-DSS, ISO27001, TSE-Güven Damgası gibi sertifikasyonlara sahipseniz ya da edinmek istiyorsanız, bilişim sistemlerinizi yetkili bir kurum tarafından düzenli olarak denetletmeli ve raporlamalısınız.

En Çok Okunanlar

Kişisel Verilerin Korunması Kanunu ve KVKK Entegrasyonu

Kişisel Verilerin Korunması Kanunu ve KVKK Entegrasyonu

Kişisel Veri milenyum çağının başlamasıyla hayatımıza giren kavramlardan birisidir.

9 Ocak 2023 Devamını Oku
Siber güvenlik nedir? Neden Önemlidir?

Siber güvenlik nedir? Neden Önemlidir?

Siber güvenlik; bilgisayarları, ağları, yazılım uygulamalarını, kritik sistemleri ve verileri olası dijital tehditlerden koruma uygulamasıdır.

9 Ocak 2023 Devamını Oku
Siber Güvenlik Çözümlerimiz

Siber Güvenlik Çözümlerimiz

Siber güvenlik, bir kuruluşun ağına ait veya bu ağa bağlı bilgi işlem kaynaklarının verilerini ve bütünlüğünü korur.

9 Ocak 2023 Devamını Oku
Kurumsal Hukuk Hizmeti

Kurumsal Hukuk Hizmeti

INTERNON Veri Güvenliği; Kurumsal Hukuk Hizmeti ile, işe alım, çalışma, disiplin süreçleri, fesihler ve uyuşmazlıklar da dahil iş ilişkilerinin her aşamasında kapsamlı destek verir.

9 Ocak 2023 Devamını Oku
Daha Fazla

HİZMETLERİMİZ

Sızma (Penetrasyon) Testi

Sızma testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir.

KVKK İdari-Hukuki-Teknik Entegrasyon

Kurumunuzu; Kişisel Verilerin Korunması Kanununa; idari, hukuki ve teknik açıdan kusursuz şekilde entegre ederek, kanuna yüzde yüz uyum sağlamanızı garanti ediyoruz.

Siber Güvenlik Çözümleri

Kurum yapınız içerisinde bulundurduğunuz verilerin siber saldırılardan korunması için mümkün olanı bir adım öteye taşıyor ve size lider bir güvenlik sağlayıcısı ile durmadan değişen ve çeşitlenen tehditlere karşı etkin bir güvenlik hizmeti sağlıyoruz.

KVKK Süreç Yönetim Yazılımı

Yeni nesil teknoloji anlayışına uygun güvenlik öneri ve çözümleri ile İNTERNON VERİ GÜVENLİĞİ A.Ş., kurumunuzun iş süreçlerinin en güvenilir şekilde yürütülmesini sağlamaktadır.

KVKK İdari-Hukuki-Teknik Denetim

Kişisel Verileri Koruma Kurumu nezdinde de geçerli bir denetim raporu sunarak entegrasyon düzeyinizin bağımsız bir göz tarafından da değerlendirilmesini sağlıyoruz.

GDPR Entegrasyonu Ve Denetimi

İthalat, ihracat veya bir başka şekilde yurt dışı kontaklarınız açısından da veri koruma hususunun tescili için gerekli tüm entegrasyon hizmetini sunabiliyoruz.

ISO 27001/BGYS Danışmanlığı

İNTERNON VERİ GÜVENLİĞİ, ISO 27001 danışmanlık hizmeti ile BGYS süreçlerinin tamamını sizinle birlikte organize ederek firmanızı ISO 27001 belgelendirme denetimine hazır hale getirmektedir.

CBDDO BİG Rehberi Uyum Danışmanlığı

NTERNON VERİ GÜVENLİĞİ tarafından sunulan Bilgi ve İletişim Güvenliği Rehberi uyumluluk danışmanlığı eldeki veriler ışığında rehber uyumluluğu için hangi aksiyonların alınması gerektiğini belirtir planlamaları içerir.

Entegrasyon Projelerimiz ve Siber Güvenlik Çözümlerimiz İle Siber Güvenlik İhitiyaçlarınızın Giderilmesi İçin Size Ulaşalım

İLETİŞİM