Header Ads

Penetration Test Nedir


Penetration Test Nedir ? 

Penetration Test'in bizdeki anlamı "Sızma Testi"'dir. Penetration Test amacı herhangi bir sistemde var olan açığı bulmak , olan açığı sömürmek ve raporlamaktır. Sızma testlerinde her ne kadar geniş olsa da elbette "Penetration Tester" dediğimiz kişilerin de kendi çalışma alanları vardır . Yani kimi "Web Uygulama Sızma Testi" yapar kimi de "Network Sızma Testi " yapar.Anlayacağınız üzere Penetration Test çoğul bir kavramdır.

Sızma testlerinde testi yapan (Kişi,Firma) bir saldırganın gözünden olaylara bakar. Yani bir saldırganmış gibi sistemi test eder,açıkları listeler ve exploit etme aşamasına gider. Son olarak da rapor yazılır ve test yapılan firmaya teslim edilir. Elbette raporların da çeşitleri vardır . Örnek olarak , yöneticiye ayrı rapor, çalışanlara ayrı raporlar sunulur. Bu testi yapan firmaya ya da test yapılan firmaya bağlı olabiliyor. Penetration Test aslında "Vulnerability Assessment" kavramıyla birlikte işler. Vulnerability Assessment sistemdeki açıkların bulunmasını hedefler bunlar da genel olarak test araçlarıyla gerçekleştirilir . Hepsi bir araya geldiğinde Penetration test döngüsü ortaya çıkar. 

Penetration Test yapan firma, testi yapacağı firmaya göre strateji geliştirir. Bunun sonucunda ne tür bir test stratejisiyle devam edeceği belli olur .
Örnek verecek olursak;
  1. Firmadaki Yazılımlar
  2. Ağ Alt Yapısı
  3. Tüm Sistem Alt Yapısı
gibi stratejiler oluşturulur. Bunlar konuşulur planlar yapılır ve belli bir süre zarfında sistemler test edilir. Firmanın alacağı riskler , yapacağı testkerin zararlarını üstlenip üstlenmeyeceği veri kaybı olması durumunda testi yapan firmanın sorumluluk almayacağı gibi meseleler konuşulmalıdır. Elbette yapılacak test çeşidine göre stratejiler değişir .

Günümüzde genel olarak yapılan Sızma Testleri şunlardır ;
  • Network Sızma Testleri
  • Wireless Sızma Testleri
  • DDos Saldırı Denemeleri
  • Web Uygulama Sızma Testleri
  • Sosyal Mühendislik Sızma Testleri
  • Mobil Sızma Testleri
  • Voip sızma testleri
  • Lan Sızma Testleri
Görüldüğü gibi birçok test çeşidi mevcut. Firma veya kişisel küçük kurumlar bunlardan dilediğini test yapan bir firmaya yaptırabilir.

Penetration Test , kısaca pentest oldukça önemlidir. Firmalar artık yeni pentest kavramını öğrenip, biliçlenip testlerini yaptırıyorlar. Bu konuda çalışmalar sürse de firmaların bu konuda bilinçlenmesini sağlamak biz güvenlik uzmanları için önemlidir.

Penetration Test İşleminde genel olarak izlenmesi gereken yollar vardır ;
  • Keşif
  • Host Keşfi
  • Bilgi Toplama (Aktif , Pasif)
  • Port Tarama 
  • Ağ Analizi
  • Vulnerability Assessment
  • Exploiting 
  • Yetki Yükseltme
  • Sistemde İlerleme
  • Raporlama
gibi basit yollar izlenebilir . Daha öncede dediğim gibi bunlar değişkenlik gösterebilir .

Firmanın bu testleri hangi zaman aralıklarında veya sıklıkla yaptıracakları da tartışmasız önemlidir. Gün geçtikçe yenilenen uygulamalar kurulan yazılımlar, yapılandırılan ağ ayarları gibi değişiklikler ve yenilikler ile yeni zaafiyetler ortaya çıkabilir. Bu sebepten dolayı firma belli sıklıklarla sızma testi hizmeti almak mecburiyetinde kalır

Penetration Test'in çeşitleri Vardır.
  1. Siyah Kutu
  2. Beyaz Kutu
  3. Gri Kutu
  • Siyah Kutu
Siyat kutuda test yapılacak firma ve sistem hakkında herhangi bir bilgi sahibi olunmadan test gerçekleştirilir . Yani bir hacker gözünden sistemde zaafiyet aranır ve sisteme giriş sağlanır.
  • Beyaz Kutu  
Bu testte firma, test yapacak firma ile birçok bilgi paylaşır ve buna göre işlemler gerçekleştirilir. Genel olarak bunun nedeni firmada çalışan veya önceden çalışmış kişilerin yapabileceği saldırılar gözlemlenir ve ne tür kayıplar verecebilecekleri tespit edilir.
  • Gri Kutu
Gri kutu sızma testi , beyaz ile siyah kutu karışımı diyebiliriz. En belirgin farkı ise beyaz kutudaki gibi firma detaylı bilgi vermez . Bu test düşük rütbedeki kişilerin vereceği zararları gözlemlemek amacıyla yapılmaktadır.



 


CyberGuilty INC. Blogger tarafından desteklenmektedir.