• +90 212 709 97 74
  • info@techsoft.com.tr
Gökay Bostancı
2.695
18 Şubat 2021 Perşembe

Penetrasyon Testi Nedir? Kimlere Yapılmalıdır?

Penetrasyon testi aynı zamanda sızma testi olarak da adlandırılır. Bilgi güvenliğinin önemli olduğu günümüzde bu testlerin en küçük KOBİ’lerden en büyük işletmelere kadar yapılması tavsiye edilir. Firmaların en önemli varlığının verileri olduğu göz önünde bulundurulursa testin önemi daha artar. Bilgi kayıpları, hırsızlıkları ve hizmet aksaklıklarının önüne geçilmesi için penetrasyon testi yapılması gerekir. Test sırasında profesyonel kişiler saldırgan gibi hareket ederek sistemin açıklarını, risklerini ve erişilebilirliğini belirlerler. Farklı yöntemler ve değişkenler söz konusu olduğu için testlerin uzmanlar tarafından yapılması önemlidir. Bu konuda Türkiye’de uzman olan Tamer Şahin tercih edilebilir.

Penetrasyon Testi Çeşitleri Nelerdir?

Penetrasyon testleri arasında Black Box, Gray Box ve White Box gibi üç ayrı çeşit yer alır.

Black Box yönteminde sızma testini gerçekleştiren firmayla veri paylaşımı yapılmaz. Zarar vermek veya firmadan veri sızdırmak amacıyla işlem yapan kişiler saldırgan gibi davranarak verileri ölçmeye başlar ve sisteme girer.

Gray Box yöntemi, sistem hakkında detaylı bilgi alınmadan gerçekleştirilir. Test sayesinde firma içerisinde kısıtlı yetkiye sahip kullanıcıların sisteme verebilecekleri tüm zarar tespit edilir ve önlemler alınır.

White Box, güvenlik uzmanlarının bilgi aldığı test türüdür. Firma içerisindeki yetkili kişiler güvenlik uzmanlarına detaylı bilgi verirler. Böylelikle uzmanlar sistem hakkında bilgi sahibi olarak işe başlar. Bu uygulamada daha önce firmada yer alan ya da hala çalışan kişilerin sisteme verebilecekleri zararlar göz önünde bulundurulur ve detaylı bir rapor çıkarılır.

Penetrasyon Testi Aşamaları Nelerden Oluşur?

Penetrasyon testi yapılırken ilk olarak pasif bilgi toplama işlemleri gerçekleştirilir. Hemen ardından aktif bilgi toplama, ağ analizleri, port analizi ve sistem analizi yapılır. Yetki yükseltme, sistemi kapatma, kaynak doldurulması, yetkisiz erişim imkanı yaratma, risk değerlendirmeleri yapılır. Son olarak web tabanlı uygulamalar için saldırılar ve sosyal mühendislik saldırıları aşamaları gerçekleştirilir.

Penetrasyon Testi Sonrası Neler Yapılmalıdır?

Test sonuçlandıktan sonra değerlendirmelerin ve raporlamaların yapılabilmesi gerekir. Test sonrasında belirlenen eksiklikler hızlıca giderilmeli ve ilerleyen süreçlerde tekrar aynı sorunlarla karşılaşılmaması için gerekli tüm önlemler alınmalıdır.

Penetrasyon testi şirket birimlerinin anlayabileceği bir dille raporlanır. Ortaya çıkan sonuçlar istatistiksel olarak oranlara bölünür ve zafiyetler kategorilere ayrılır. Tespit edilen güvenlik açıkları rapor edilirken teknik olarak zayıf durumdaki ayrıntılar zafiyet bazlı ya da IP bazlı olabilir. Raporlarda teknik detaylar verilir.

Güvenlik açıklarının hangi sebeplerden dolayı oluşabileceği ve risk değerlendirmeleri ortaya çıkarılır. Açıklıkların kapatılması için takip edilmesi son derece önemlidir. Rapor içerisinde bulunan açıklar belirlendikten sonra hangi açığın kimin sorumluluğunda olduğu net bir şekilde ortaya çıkarılmalıdır.

Penetrasyon Testi Size Ne Sağlar?

Penetrasyon testi yaptırdığınız zaman saldırgan bakış açısıyla güvenlik açıklarınızı tespit etmeye başlarsınız. Şirketlerin kendi içerisindeki güvenlik önlemleri çoğunlukla yeterli olmaz. Bu tür durumlarda devreye bu tarz testler girer. Kötü niyetli hackerların sayısı giderek arttığından dolayı gerekli testleri yaptırarak çağa ayak uydurabilirsiniz.

Saldırılara karşı dirençli bir altyapı oluşturmak isteyenler bu testten yararlanabilirler. Kullanıcı bazlı olarak veri güvenliğinin farkındalığı artmaya başlar. Testler sonucunda sistemin durdurulma veya kaynak doldurmalarının engellenmesi gibi sorunlar ortadan kalkar. Kurum prestijiniz ve marka değeriniz güven altına alınır.

Penetrasyon testleri söz konusu olduğu zaman profesyonel destek alınması gerektiği asla unutulmamalıdır. Tecrübesiz kişiler tarafından bu tür testlerin uygulanması tavsiye edilmez. Gerekli şartlar sağlandığı zaman kendinize özel penetrasyon testlerini şirket içi ve dışı güvenliğiniz için muhakkak yaptırmanız gerekir.

Son Blog Yazıları