Sızma testi günümüz bilgi çağında en önemli ve en kritik konulardan birisidir. Pentest bilişim sistemleri üzerindeki zafiyetlerin yetkili güvenlik uzmanları tarafından tespit edilmesi ve raporlanması işlemlerinin bütünüdür. Bu işlemler bütünü sızma testi hizmeti veya Pentest hizmeti olarak tanımlanabilir. Yetkili ve uzman siber güvenlik personelleri tarafından gerçekleştirilmesi gereken Pentest (Penetrasyon testi) hizmetinde bilişim sistemlerindeki mantıksal hatalar tespit edilerek zafiyetler ortaya çıkartılır. İkinci aşamada ise ortaya çıkartılan zafiyetler kullanılarak ilgili sistemde yetki sahibi olunması planlanır. Bu zafiyetlerin istismar edilip yetki elde edilmesi ile sistemde kontrol ele geçirilmiş olunur. Sonrasında ise ilgili kuruma bu zafiyetler iletilerek kapatılması için rapor verilir. Doğal olarak kötü niyetli kişilerin bu zafiyetleri tespit ederek lehlerine kullanımı engellenmiş olur.
Sızma Testi Uzmanı (Pentester) Nedir?
Tüm bu işlemleri yapan ve ilgili kurumlara etik sınırlar içerisinde raporlayan kişilere Pentester veya Sızma Testi uzmanı denilmektedir. Sızma testi uzmanları belirli sertifikasyonlara sahip ve alanında yetkinliklerini kanıtlamış olan kişilerdir. Bu kişilerin tecrübeleriyle birlikte sahip oldukları sertifikasyonlarına bakılarak gerekli prosedürler tamamlanır. Bazı kurumlarda ise sızma testi yaptırmadan önce sızma testi yapacak olan personelin geçmişi, sertifikasyonları veya referanslarının istenmesi ile birlikte sızma testi yapacak olan kurum ile NDA anlaşması imzalanması da gereklidir.
Sızma Testleri ile Zafiyet Değerlendirmesi Kavramlarının Farkları Nelerdir?
Pentest yani sızma testi hizmetlerinde genel olarak zafiyetler belirlendikten sonra bu zafiyetler kullanılarak ilgili sistemde yetkili erişim edilerek sistemin bir kısmı veya bütününde işlem yapılır. Zafiyet değerlendirmesindeki amaç ise yetki elde etmek yerine, sistemlerde tespit edilen zafiyetlerin değerlendirilmesi ve olası risklerin belirlenmesidir.
Sızma Testi (Pentest) Çeşitleri Nelerdir?
Sızma testleri ilgili kurumlarla anlaşılarak üç farklı tipte yapılabilmektedir. Birincisi iç ağ sızma testleri, ikincisi dış ağ sızma testleri, üçüncüsü de web uygulama güvenlik testleri olarak bilinir. Petrol şirketleri gibi özel kurumlarda ise SCADA Sızma testleri gibi özel yapılar üzerinde farklı sızma testleri ve gelişen teknoloji ile karşımıza gelen mobil uygulama sızma testleri türleri de bulunmaktadır.
İç Sızma Testleri: Bu sızma testi türünde ilgili kurum, kendi iç ağında sızma testi yapacak olan personele bağlantı sunarak testlerin içeriden yapılması sağlanır. Bu sayede içerideki bir yetisiz erişimin olması durumunda ortaya çıkabilecek riskler belirlenerek erişim elde edilmeye çalışılır. Bazı özel testlerde ise iç sızma testleri belirlenen sistemlerde ve sınırlı bir şekilde yapılabilirken, bazı kurumlarda hiçbir yetki verilmeden kurum ağında yetkili erişim elde edilmesi için sınırlama yapılmadan ve yalnızca yöneticilerin haberi olacak şekilde işlemler de yapılabilir.
Dış Sızma Testleri: Dış sızma testi türünde siber güvenlik uzmanları yani beyaz şapkalı hackerlar bir saldırgan kimliğine bürünerek sisteme dışarıdan erişmek ve kurum iç ağında yetki elde etmeye çalışılır. Bu süreç içerisinde kurumun bütün dış güvenlik katmanları aktif ve herhangi bir erişim verilmeden sızma testlerinin yapılması beklenmektedir.
Web veya Mobil Uygulama Testleri dışarıdan yapılan ancak yalnızca kurumun web uygulamalarına yönelik sızma testlerini kapsamaktadır. Kurumun iç ağına erişmek yerine kurumun internet ortamına açık olan web uygulama varlıkları üzerinde yapılan testlerdir. Düne kadar web uygulama testleri ile birlikte mobil uygulama testlerine de yer verilirken, bugün gelişen teknoloji ve varlıklarımız sebebi ile mobil uygulama testleri de özel testler arasına girmiş ve ayrıca değerlendirilebilir hale gelmiştir. Mobil uygulama testlerinde genel olarak Android veya IOS platformları üzerine inşa edilmiş olan kurumların varlıkları incelenmekte ve zafiyetler tespit edilmektedir.
Kullanılan Pentest Yöntemleri Nelerdir?
Pentest yani sızma testleri yapılırken üç türde yöntem kullanılmaktadır. Bu yöntemler Black Box, White Box ve Grey Box olarak adlandırılır. Bu üç sızma testi yaklaşım yönteminin farkları aşağıdaki gibi belirtilmiştir.
White Box Sızma Testi: Bu türdeki sızma testlerinde kullanılan yöntem tamamen bilgi çerçevesinde ve belirlenen sınırlar içerisinde yapılmaktadır. Beyaz kutu olarak belirtilen bu Pentest yönteminde kurumun iç ağında çalışan tüm güvenlik ekipmanı, araçlar ve insan gücünden haberdar olarak çalışma yapılır. Siber güvenlik uzmanları bu bilgilere sahip oldukları gibi hata yapma olasılıkları da düşer ve kurum ağına yapılan sızma testinde kurum işlerliğinin en az risk ile yürütülmesi amaçlanır.
Black Box Sızma Testi: Bu yaklaşım türündeki sızma testlerinde White Box yöntemi mantığına göre tamamen ters bir şekilde çalışmalar yapılmaktadır. White Box türünde kurum iç ağına sızmakla görevli olan sızma testi personeli kurum ağında bulunan güvenlik araç veya uygulamaları hakkında hiçbir bilgiye sahip değildir. Bu bilgiyi ve içeriye sızma girişimini kendi tecrübelerine göre çözmek zorundadır. Bu nedenle White Box sızma testine göre çok daha uzun ve pahalı süreçlerden geçilmelidir. Aynı zamanda bu türdeki sızma testlerinde her türlü teknik kullanılmakta ve bir siber saldırgandan farksız olarak kurum ağına tehlikeli de olsa sızılmaya çalışılmaktadır. En başarılı ve en önemli sızma testlerinden biri olmasına rağmen kurum ağı veya kurum işlerliğine zarar verilebilmesi nedeni ile pek fazla tercih edilmeyen bir Pentest yöntemidir.
Grey Box Sızma Testi: Adından da anlaşılabileceği gibi beyaz ve siyah alanda yer alan sızma testi yöntemlerinden biridir. Bu yaklaşım türünde kurum ağının tamamı olmasa da giriş yolları ve bazı noktalar hakkında sızma testi uzmanları bilgilendirilir. Aynı zamanda black box sızma testi risklerini minimize etmek için bazı noktalarda sınırlar koyularak zarar görme riski minimuma indirgenmeye çalışılmaktadır.
Kurumunuza özel sızma testleri hizmetimiz ve fiyat teklifi için info@priviasecurity.com adresimiz ile iletişime geçebilir veya IT Sızma Testi Hizmeti sayfamıza göz atarak başvuru yapabilirsiniz. Privia Security olarak kurum ağınızı korumak için alanında uzman ekibimiz ile her zaman yanınızdayız.