Penetrasyon Testi Nedir?
Bir şirketin,sistemin veya uygulamaların güvenliğini kontrol etmek amacıyla başvurulan yöntemlerden biri penetrasyon testleridir. Peki penetrasyon testleri neden önemlidir? Ayrıntılar yazımızda..
22.12.2014 tarihli yazı 17314 kez okunmuştur.
Penetrasyon Testi Nedir ?
Penetrasyon testi (bilinen diğer adıyla pentest veya daha genel bir ifadeyle güvenlik testi) güvenlik açıkları için sisteminizi kontrol eden bir uygulamadır. Uygulama temel olarak, "Benim sistemime bir hacker zarar verebilir mi?" sorusunu yanıtlar.
Verimli bir penetrasyon testi, genellikle yetenekli bir hacker veya hacker grubu tarafından yapılır ve testi gerçekleştiren kişi pentester olarak isimlendirilir. Onlardan kasıtlı olarak sisteminize erişmeye çalışmalarını istersiniz. Bu işlem, testten önce hedef hakkında toplanan bilgileri, olası sistem giriş noktalarının belirlenmesini, zorla giriş yapmaya çabalayanlarının belirlenmesini ve geride bırakılan bulgulara ait raporları içerir. Penetrasyon testleri IP adresleri veya özel uygulamalar üzerinden yürütülebilir. Aşamaları ise sizin testi ne için yapmak istediğinize bağlıdır.
►İlginizi Çekebilir: Antivirüs Programları Nasıl Çalışır?
Penetrasyon testine dair birkaç örnek verelim:
► Şirketinizin adresini penetrasyon testi yapacak takıma verdiniz ve onlara sisteminize erişmeye çalışmalarını söylediniz. Takım sisteminize zorla girmek ve kompleks uygulamalara saldırılar yapmak için bir dizi sosyal mühendislik teknikleri kullanabilir.(Şirkete giderek danışmaya güvenlik kontrollerinin çalışıp çalışmadığını kontrol etmek için bilgisayar odasına bakmaları gerektiğini söylemek ve bunun için izin istemek daha sonra USB den keylogger yüklemek gibi) (Keylogger: Klavyeden girilen tuşların bilgisini tutan zararlı yazılım)
► Penetrasyon testi yapacak kişi sizin konuşlandırmadığınız bir web uygulamasına erişebilir ve hasara neyin neden olduğunu söyleyebilir. Testi yapan kişi daha sonra kırılmaya çalışılan uygulamanın çeşitli parçalarına farklı saldırılar gerçekleştirebilir.
►İlginizi Çekebilir: Tersine Mühendislik |Reverse Engineering
Tüm penetrasyon testlerinde yaygın olan tek şey, testlerde her zaman tüm bulguların olmasıdır. Mükemmel bir sistem yoktur ve tüm sistemlerde güvenliği sağlayacak ek adımlar olabilir. Penetrasyon testinde asıl amaç sisteminizdeki ve uygulamalarınızdaki zayıf noktaları ve uygulamalarınızın tümünün güvenliğini güçlendirmek için en iyi kaynağı belirlemektir.
Neden penetrasyon testi yaptırmalıyız ?
Sistemlerde rastlanabilecek güvenlik zafiyetlerinin kontrol edilmesi güvenlik açısından önemlidir. Biz ne kadar dikkat edersek edelim hackerların bilgisi ve becerisi sistemlerimize zarar verebilir. Olası saldırıları engellemek ve güvenlik zafiyetlerini ortadan kaldırmak için sistemimizi böyle bir testten geçirmek bizim yararımıza olacaktır.
►İlginizi Çekebilir: Zararlı Yazılım Analizleri 101 |1. Bölüm
Penetrasyon testi neden önemlidir?
► Test güvenlik personeline bir saldırı ile ilgili gerçek bir deneyim kazandırır. Penetrasyon testi personelin bilgisi olmadan yapılmalıdır ve bir kuruluşun güvenlik politikalarının gerçekten etkili olup olmadığını test etmesi için gerekli izinler verilmelidir. Bu testler yangın tatbikatı gibi düşünülebilir.
► Test sonucunda güvenlik politikasındaki eksik yönler ortaya çıkabilir. Örneğin, çoğu güvenlik politikası bir kuruluşun sistemlerindeki saldırıları önlemek ve tespit etmek odaklıdır. Fakat saldırganı ortaya çıkarma süreci çoğunlukla ihmal edilir. Penetrasyon testi süresince sisteme yapılan saldırılar üzerinden güvenlik personelinin tespit edemediği saldırgan ortaya çıkarılabilir.
► Güvenlik personelleri şirketin veya uygulamanın içindeki riskler üzerinden önlemler alır. Pentester ise bununla sınırlı kalmaz sisteme zarar vermek isteyen bir saldırgan gibi davranarak sisteme erişmeye çalışır. Bu yöntemle güvenliğinizdeki büyük açıklıkları veya geliştirici takım tarafından asla düşünülmeyenleri ortaya çıkarabilir. Penetrasyon testi sonucunda oluşturulan rapor gelecekteki güvenlik planlamanızı şekillendirmenizde yardımcı olur.
► Penetrasyon testi raporları uygulama geliştiricilerin daha az hata yapmaları konusunda eğitim için yardımcı olabilir. Eğer geliştiriciler uygulamalarına veya uygulamalarının bir kısmına dışarıdan bir saldırı görürlerse güvenlik bilgilerini geliştirmek için daha fazla motive olabilirler ve ileride olabilecek benzer hatalardan kaçınırlar.
Kurumunuz sistemlerinin, uygulamalarının ve kuruluşlarının tümünün güvenliğini test etmek için düzenli olarak pentest yaptırmıyor olabilir. Böyle bir durumda sizin ilk birkaç penetrasyon testiniz şok edici sonuçlar ortaya çıkaracaktır. Ve kuruluşunuz olası saldırılara karşı tahmin edilenden daha fazla savunmasızdır.
► Test sonucunda güvenlik politikasındaki eksik yönler ortaya çıkabilir. Örneğin, çoğu güvenlik politikası bir kuruluşun sistemlerindeki saldırıları önlemek ve tespit etmek odaklıdır. Fakat saldırganı ortaya çıkarma süreci çoğunlukla ihmal edilir. Penetrasyon testi süresince sisteme yapılan saldırılar üzerinden güvenlik personelinin tespit edemediği saldırgan ortaya çıkarılabilir.
► Güvenlik personelleri şirketin veya uygulamanın içindeki riskler üzerinden önlemler alır. Pentester ise bununla sınırlı kalmaz sisteme zarar vermek isteyen bir saldırgan gibi davranarak sisteme erişmeye çalışır. Bu yöntemle güvenliğinizdeki büyük açıklıkları veya geliştirici takım tarafından asla düşünülmeyenleri ortaya çıkarabilir. Penetrasyon testi sonucunda oluşturulan rapor gelecekteki güvenlik planlamanızı şekillendirmenizde yardımcı olur.
► Penetrasyon testi raporları uygulama geliştiricilerin daha az hata yapmaları konusunda eğitim için yardımcı olabilir. Eğer geliştiriciler uygulamalarına veya uygulamalarının bir kısmına dışarıdan bir saldırı görürlerse güvenlik bilgilerini geliştirmek için daha fazla motive olabilirler ve ileride olabilecek benzer hatalardan kaçınırlar.
Kurumunuz sistemlerinin, uygulamalarının ve kuruluşlarının tümünün güvenliğini test etmek için düzenli olarak pentest yaptırmıyor olabilir. Böyle bir durumda sizin ilk birkaç penetrasyon testiniz şok edici sonuçlar ortaya çıkaracaktır. Ve kuruluşunuz olası saldırılara karşı tahmin edilenden daha fazla savunmasızdır.
►Kaynak:
Security Innovation Europe
YORUMLAR
Aktif etkinlik bulunmamaktadır.
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- Denizcilik Endüstri Uygulamaları ve Servis Bakım Süreçleri
- DrivePro Yaşam Döngüsü Hizmetleri
- Batarya Testinin Temelleri
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
- Röle ve Trafo Merkezi Testlerinin Temelleri | Webinar
- Chint Elektrik Temel DIN Ray Ürünleri Tanıtımı
- Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
- Elektrik Panoları ve Üretim Teknikleri
ANKET