Adınız (gerekli)

Epostanız (gerekli)

Kısaca Mesajınız

Penetrasyon Testi Nedir? Çeşitleri ve Aşamaları Nelerdir?

Shares
penetrasyon testi pentest
Read Carefully

Penetrasyon Testi Nedir?

Penetrasyon testi, bilinen kısa adıyla Pentest; firmaların bilişim sistemlerini oluşturan altyapı ağlarını dışarıdan gelecek saldırı ve sızıntılara karşı güvenlik açıklarını tespit etmek üzere yapılan simülasyon şeklinde uygulanan deneme testleridir. Örneğin bir web sitenin altyapısında bulunan yazılım, donanım ve uygulamaların hepsi bu şekilde kırılmaya çalışılır ve varsa açıklar yakalanır. Bunların raporları hazırlanır ve açıkların ortadan kaldırılması için yapılacak çalışmaların raporları hazırlanır.

penetrasyon testi nedir

Pentest sırasında çalışan uzmanlar tıpkı bir hacker gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarır. Bilgi güvenliği açısından çok farklı yöntemler ve değişkenler söz konusu olduğu için  kesinlikle konusunda  uzmanlar tarafından gerçekleştirilmesi gerekmektedir. Hatta son yıllarda ülkemizde etik hacker eğitimleri düzenlenmekte ve bu konudaki uzmanlar pentestleri gerçekleştirmektedir.

Penetrasyon Testi Çeşitleri Nelerdir?

Penetrasyon testi olarak 3 farklı test vardır.

– White Box (Beyaz Kutu) Penetrasyon Testi

Güvenlik uzmanı, firma içinde yetkili kişilerden altyapı ile ilgili tüm bilgileri alır kullanılan tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar test edilir ve raporlanır.

– Black Box (Siyah Kutu) Penetrasyon Testi

Bu penetrasyon testinde firmanın sitemlerine sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece test edilecek hedef verilir. Bilgi sızdırmak ya da zarar vermek amacıyla sisteme girmeye çalışan bir hacker gibi davranılarak, gerçekte verilebilecek zararlar belirlenir ve raporlanır.

– Gray Box (Gri Kutu) Penetrasyon Testi

White Box ile Black Box testlerini kapsayan büyük sızma testidir. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Gray Box testinde ek olarak Sosyal Mühendislik Saldırıları ve Kablosuz Ağ Saldırıları da eklenmektedir.

Penetrasyon Testi Aşamaları Nelerdir?

1. Adım: Bilgi Toplama

Bilgi toplama sırasında sızma testi yapılacak sistem üzerinde aktif bir tarama yapılmaz. Bu aşama sadece pasif şekilde bilgi toplama aşamasıdır.

2. Adım: Tarama ve Sınıflandırma

Tarama ve sınıflandırma adımında ilk aşamada toplanan bilgilere bağlı olarak, test yapılacak sistem üzerinde ‘’tarama’’ işlemi yapılır ve analiz sonuçları elde edilir.

3. Adım: Erişim Elde Etmek

Bu adımda yapılan analizler doğrultusunda test edilmesi hedeflenen sistem üzerinde bulunan açıklara ulaşılmaya çalışılır.

4. Adım: Erişimi Yönetme

Bu adımda, açıklara erişim hakları yönetilir.

5. Adım: İzleri Gizleme

Bu adımda hedef sistem üzerinde ilk 4 adımda yapılan erişim işlemlerinde bırakılan izler temizlenir ya da tam tersi daha da iz bırakılması sağlanır.

Pentest özellikle ISO 27001 yönetim sisteminin zorunlu olarak uygulanması ile çok tercih edilen bir hizmet haline gelmiştir.

İbrahim Akşen

Deneme yanılmaya dayalı öğrenme metodunun gücüne inanır. 2016 yılı itibariyle SEO, Google Adwords ve Dijital Pazarlama konularında freelance danışmanlık vermiş ve Şubat 2017 itibariyle Emlakjet.com Dijital Pazarlama ekibine katılmıştır.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Top