Sızma testi (Penetration testi) sistemlerinizin güvenliğini değerlendirmek için sizden izin alınarak yapılan bir nevi simülasyon saldırısıdır. Sızma testi uzmanları sisteminizdeki zayıflıkları herhangi bir siber saldırı öncesinde, saldırganlarla benzer yöntemleri kullanarak işletmenizin yada kurumunuzun bundan ne kadar etkilenebileceğini bulur ve size gösterir. Sisteminizin kimliği belirli yada belirsiz kişilerden gelen saldırılara karşı ne kadar dayanıklı olup olmadığını inceleyeceklerdir. Tam anlamıyla yapılan bir sızma testinde sisteminizi herhangi bir yönüyle değerlendireceklerdir.
Penetrasyon testinin faydaları nelerdir?
Teoride tüm yazılımlar ve sistemler tehlikeli olabilecek güvenlik açıkları olmaması için tasarlanmıştır. Bir Sızma Testi ( Penetration Test) bu amaca ne kadar yaklaşıldığına daire size fikir verebilir. Sızma testi kuruluşunuza bu konuda yardımcı olacaktır.
1-) Sistemlerdeki zayıflıkları bulur
2-) Güvenlik kontrollerinin sağlamlığını denetler
3-) Veri gizliliği ve güvenlik denetlemeleriyle uyumluluk denetimi (PCI DSS , GDPR, KVKK)
4-) Yönetim için mevcut güvenlik duruşu ve zaafiyet durumunda oluşabilecek örnekler ve zarar bütçe analizleri
Sızma testinin türleri nelerdir ?
İdeal bir risk yönetimi için kapsamlı bir Sızma testi yapılması gereklidir. Bunun içindeki ortamınızdaki tüm alanların test edilmesini gerektirir.
Ağ uygulamaları taraması, Mobil uygulamalar, Network taraması, Bulut taraması, Konteynırlar (Dockers vb. ), Gömülü cihazlar (IoT), API’ler olabilir.
Sızma testinin otomatik testten farkı nedir?
Sızma testi çoğunlukla manuel bir çaba olsa da, kalem test cihazları otomatik tarama ve test araçlarını kullanır. Ancak aynı zamanda araçların ötesine geçerler ve bir güvenlik açığı değerlendirmesinden (yani otomatik testlerden) daha derinlemesine testler sağlamak için en son saldırı teknikleri hakkındaki bilgilerini kullanırlar.
Manuel sızma testi
Manuel sızma testi, popüler listelerde yer almayan güvenlik açıklarını ve zayıflıkları ortaya çıkarır (örneğin, OWASP Top 10 ) ve otomatik testin gözden kaçırabileceği iş mantığını test eder (örneğin, veri doğrulama, bütünlük kontrolleri). Manuel sızma testi, otomatik test tarafından bildirilen yanlış pozitiflerin belirlenmesine de yardımcı olabilir. Sızma test uzmanları, rakipler gibi düşünen uzmanlar olduklarından, saldırılarını hedef almak için verileri analiz edebilir ve komut dosyası içeren bir rutini izleyen otomatik test çözümlerinin yapamayacağı şekilde sistemleri ve web sitelerini test edebilirler.
Otomatik test
Otomatik test, sonuçları daha hızlı üretir ve tamamen manuel bir sızma test sürecinden daha az uzman profesyonel gerektirir. Otomatik test araçları, sonuçları otomatik olarak izler ve bazen bunları merkezi bir raporlama platformuna aktarabilir. Ayrıca, manuel sızma testlerinin sonuçları testten teste değişebilir, ancak otomatik testin aynı sistemde tekrar tekrar çalıştırılması aynı sonuçları verecektir.
Penetrasyon Testi 3 farklı şekilde yapılabilir. Bunlar Kara Kutu (Black Box) Yaklaşımı, Beyaz Kutu (White Box) Yaklaşımı, Gri Kutu (Gray Box) Yaklaşımı
1- Kara Kutu (Black Box) Yaklaşımı
Bir kara kutu test görevinde, sızma test uzmanı, hedef sistem hakkında hiçbir dahili bilgisi olmayan ortalama bir bilgisayar korsanı rolüne yerleştirilir. Test kullanıcılarına, halka açık olmayan herhangi bir mimari diyagram veya kaynak kodu sağlanmaz. Kara kutu sızma testi, bir sistemdeki ağın dışından yararlanılabilen güvenlik açıklarını belirler.
2- Beyaz Kutu (White Box) Yaklaşımı
Beyaz kutu testi, temiz kutu, açık kutu, yardımcı ve mantık güdümlü testler dahil olmak üzere birkaç farklı isimle gider. Kara kutu testine göre yelpazenin diğer ucunda yer alır: sızma test cihazlarına kaynak koduna, mimari dokümantasyona vb. tam erişim verilir. Beyaz kutu testi ile ilgili ana zorluk, potansiyel zayıf noktaları belirlemek için mevcut büyük miktarda veriyi elemek ve bu da onu en çok zaman alan sızma testi türü haline getirmektir.
3- Gri Kutu (Gray Box) Yaklaşımı
Kara kutu testinden sonraki adım gri kutu testidir. Bir kara kutu test cihazı, bir sistemi dışarıdan birinin bakış açısından inceliyorsa, gri kutu test cihazı, bir sistemde potansiyel olarak yükseltilmiş ayrıcalıklara sahip bir kullanıcının erişim ve bilgi seviyelerine sahiptir. Gray-box pentester’lar tipik olarak, potansiyel olarak tasarım ve mimari dokümantasyonu ve ağa dahili bir hesap dahil olmak üzere, bir ağın dahili özellikleri hakkında bazı bilgilere sahiptir.
Sızma testi ile ilgili Satış ve Destek Konuları için bize yazabilirsiniz. Lütfen iletişim sayfamızdan irtibata geçiniz.
0850 259 23 11 – 0352 222 23 11 – info@a8.com.tr
