Penetrasyon Testi - Pentest (Sızma Testi)
Sızma testi, ağ taraması, güvenlik açığı taraması ve manuel test dahil olmak üzere çeşitli şekillerde gerçekleştirilebilir. Ağ taraması, bir ağa bağlı tüm cihazları tanımlama ve IP adreslerini ve açık bağlantı noktalarını belirleme işlemidir. Güvenlik açığı taraması, eski yazılımlar veya yanlış yapılandırılmış sunucular gibi sistemdeki bilinen güvenlik açıklarını belirleme işlemidir. Etik bilgisayar korsanlığı olarak da bilinen manuel test, genellikle kötü niyetli bilgisayar korsanları tarafından yaygın olarak kullanılan araçları ve teknikleri kullanarak sistemdeki güvenlik açıklarından manuel olarak yararlanmaya çalışma işlemidir.
Sızma testi, dahili bir ekip tarafından veya bu hizmette uzmanlaşmış harici bir şirket tarafından gerçekleştirilebilir. Testin sonuçları genellikle sistem sahibine, bulunan güvenlik açıklarının bir listesini, ciddiyetlerini ve iyileştirme önerilerini içeren bir penetrasyon testi raporu şeklinde rapor edilir.
Sızma testinin sadece sistem sahibinin açık izni ile yapılması ve asla onların bilgisi ve rızası olmadan yapılmaması gerektiğini belirtmek önemlidir. Ek olarak, unutulmaması gereken bir diğer husus herhangi bir potansiyel hasarı önlemek için üretim sistemlerinde değil, kontrollü bir ortamda yapılmalıdır.
Her biri kendi odak noktası ve hedefleri olan çeşitli penetrasyon testi türleri vardır. En yaygın türlerden bazıları şunlardır:
Penetrasyon - Pentest Sızma Testi Hizmetleri
01
Dış Sızma Testi
İnternete açık olan web sunucuları, güvenlik duvarı ve VPN gibi bir kuruluşun dış ağ çevresine odaklanır. Harici bir bilgisayar korsanından gelen bir saldırının benzetimini yapar ve kuruluş dışından bir saldırgan tarafından yararlanılabilecek güvenlik açıklarını belirlemek için kullanılır.
03
Web Uygulaması Sızma Testi
Web uygulamalarına odaklanır ve SQL ekleme, siteler arası komut dosyası oluşturma ve uygulamanın kendisine yönelik bir saldırıyı simüle eder.
05
Kablosuz Ağlar Sızma Testi
Kablosuz ağlara odaklanır ve erişim noktaları ve kablosuz istemciler gibi kablosuz altyapıya yönelik bir saldırıyı simüle eder.
07
Kırmızı Takım Penetrasyon Testi
Kuruluşun savunmasını değerlendirmek için bir kuruluşun ağına ve fiziksel altyapısına gerçek dünyada, tam ölçekli bir saldırıyı simüle eder. Test sonucunda olay müdahale yetenekleri raporlanır .
09
Genel Olarak
Tüm potansiyel güvenlik açıklarını ve riskleri ele alan kapsamlı bir test planı oluşturmak için farklı test türlerinin birleştirilebileceğini belirtmek önemlidir. Ayrıca, keşfedilen yeni güvenlik açıklarının giderildiğinden ve sistemin güvende kaldığından emin olmak için test işlemi periyodik olarak tekrarlanmalıdır.
02
Dahili Sızma Testi
Bir kuruluşun iç ağına odaklanır ve dahili bir kullanıcıdan veya ilk önce elde etmiş bir saldırgandan gelen bir saldırıyı simüle eder. İç ağa erişim, çevre güvenliğini zaten ihlal etmiş bir saldırgan tarafından yararlanılabilecek güvenlik açıklarını belirlemek için kullanılır.
04
Mobil Uygulama Sızma Testi
iOS ve Android uygulamaları gibi mobil uygulamalara odaklanır ve uygulamaya yönelik bir saldırıyı ve aradaki iletişimi simüle eder. Uygulama ve arka uç sunucuları içerir.
06
Sosyal Mühendislik Sızma Testi
Bir kuruluşun güvenliğinin insan unsurunu test etmeye, kimlik avı, yemleme ve bahane saldırılarını değerlendirmek için simüle etmeye odaklanır. Kuruluşların ve çalışanların bu tür saldırıları algılama ve önleme yeteneği raporlanır.
08
Mavi Takım Penetrasyon Testi
Kuruluşun olay müdahale planını, prosedürlerini ve personelini simüle edilmiş bir saldırı senaryosunda test etmeye odaklanır.