Kısaca Pentest olarak da bilinen Penetrasyon Testi nedir, kurum, kuruluş ve firmaların, uygulama ve web servisleri ile ağ alt yapılarının güvenlik becerilerini üst seviyede tutmak ve dışarıdan gelmesi muhtemel saldırıları görerek önlem almak amacıyla yapılır.

penetrasyon testi yazan bir görsel

Testin yapılmasındaki en önem konu aslında güvenlik açıklarını tespit ederek oluşabilecek bilgi kayıplarını engellemektir. Tüm bu süreç için detaylı bir penetrasyon testi yapılmalıdır. Bu test yapılırken, uzmanlar bir saldırgan gibi davranırlar ve sisteme ait tüm açıkları, riskleri ve erişebilir dosyaları ortaya çıkarırlar.

Penetrasyon Testi Türleri

Penetrasyon testi nedir, penetrasyon testi
Pentest temelde üç gruba ayrılır:

  1. Black Box
  2. Gray Box
  3. White Box

Black Box: Siyah kutu olarak bilinen sızma testinde, işlemi gerçekleştiren firma ya da kuruluş ile ilgili herhangi bir bilgi paylaşımı yapılmaz. Kuruluştan bilgi sızdırmak ya da zarar vermek amacı ile sızmaya çalışan saldırgan gibi davranılır ve sonuçlara ait zararlar görülerek, gerekli önlemler alınır.

White Box: Güvenlik uzmanı, firma tarafından yetkili kişilerce tüm sistemler ve işleyiş süreci hakkında bilgilendirilir. Beyaz kutu denilen bu test ile daha önce firmada çalışan ya da halen çalışmakta olan kişilerin verebilecekleri sistemsel zararlar gözlenir ve raporlanır.

Gray Box: Gri kutu adı verilen penetrasyon testi ile iç ağda bulunan yetkisiz bir kullanıcının sisteme verebileceği zararın analiz edilebilmesi amaçlanır. Yetki yükseltme, verilerin çalınması ya da network paket kaydedicilerine karşı oluşabilecek zararları gösterir. Genelde kuruluşlarda meydana gelen zararların %65'inin halihazırda çalışanlar tarafından geldiği düşünülürse, en önemli penetrasyon testi türü gray box olmaktadır.

Sıfır ve birden oluşan bir kod dizininin içinde you hacked yazıyor

Penetrasyon Testinde İncelenecek Ağ Bileşenleri

  • Firewall (güvenlik duvarı) yapılandırması
  • Durum bilgisine sahip paketin denetime tabi tutulması (Stateful Analysis Testing)
  • Saldırı engelleme sistemlerini atlatma testinin yapılması
  • DNS testi
  • Bölge transfer testi (zone transfer)
  • Anahtarlama (switching) ve yönlendirme (routing) incelemeler

Penetrasyon Testinde Analizi Yapılan Saldırılar**

  • SQL enjeksiyonu
  • Kimlik doğrulama ve oturum yönetimi
  • Dosya yükleme zafiyeti
  • Siteler arası betik çalıştırma
  • Sunucularda önbellek zehirleme açığı
  • Yanlış yapılandırılmış güvenlik
  • Parola kırma
  • Siteler arası istek sahteciliği

Raporlama Süreci

Penetrasyon (sızma) testi yapılırken test sırasında ve sonrasında birtakım raporlamalar yapılır ve son aşamada da doğrulanır. Her bir aşamada yapılanlar ve raporlama süreci şu şekilde özetlenebilir:

Test Sırasında:

Zayıflıklar, yetkisiz bilgilere ulaşma, web sitesi trafik anomalileri, günlük yapılan işlerin mesai bitiminde raporlama süreci.

Test Sonrasında:

Güvenlik testleri yapıldıktan sonra ortaya çıkarılan zayıflıklar ile çözüm önerilerinin belirlenmesi, güvenlik stratejilerinin tespiti ve uygulanması konusundaki öneriler.

Doğrulama Aşaması:

Güvenlik testi bittikten sonra hazırlanan raporun sunulması, kuruma ait zayıf yönlerin kapatılması. Son kez doğrulama testi yapılması.

penetrasyon testi baloncuğunu elinde tutan bi hacker var

KVKK İçin Penetrasyon Testinin Önemi

6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında müşterilerden/kişilerden alınan ad-soyad, TC kimlik numarası, telefon numarası, fotoğraf, öz geçmiş bilgileri, e-mail adresi ve IP adresi gibi kişisel bilgiler yanı sıra tercih ve beğeniler, fiziksel özellikler, hobiler ve hatta gezinti alışkanlıklarının hepsi kişisel veri olarak kabul edilmektedir.

Kişisel verileri bünyesinde tutan kurum ve kuruluşlar için farklı bir göz tarafından KVKK uygunluğunun incelenmesi ve tespiti yapılmalıdır. Bu konuda penetrasyon testi nedir diğer testler arasında en önemlileri arasındadır.

Proaktif güvenliğin sağlanması açısından sahip olunun bilişim sistemlerindeki güvenlik zafiyeti tespit edilmelidir. Sistem sahibi ne kadar dikkatli olursa olsun, saldırganların kullanacağı tekniklerin sınırı yoktur ve her geçen gün yeni bilgiler ışığında teknikler geliştirilmektedir.

Bir şeylerin gözden kaçması ihtimaline karşı yapılan bu test, son zamanlarda Kişisel Verilerin Korunması Kanunu kapsamında zorunlu yapılması gereken testlerden biri haline gelmiştir.

Penetrasyon Testi nedir başlıklı yazımızı beğendiyseniz paylaşmayı unutmayın!