Bir çok insanın aşina olduğu bir laf vardır: “Sistemi değiştirmek için sistemin içine sızmak zorunludur!” şeklinde. Bu cümlenin sanal ortamda güvenlik tedbiri amaçlı kullanılan şekline değineceğiz bu yazımızda: Penetrasyon Testi

Penetrasyon testi, 3. taraf siber saldırılara karşı önlem amaçlı, kurumların veya kişilerin sistemlerindeki zafiyeti öğrenmek ve bunları güçlendirmek adına siber güvenlik uzmanları tarafından yapılan bilinçli saldırı hizmetidir. Pentester da denen bu güvenlik uzmanları sisteme farklı yollarla sızmaya çalışıp o bölgedeki alanları güçlendirmekle yükümlüdürler.

Penetrasyon Testi Uygulamaları:

Bilinen 3 çeşit uygulama vardır. Bunlar: Black Box (Kara Kutu), Gray Box (Gri Kutu) ve White Box (Beyaz kutu) uygulamalarıdır.

Black Box: Bu testi yapacak uzmana, firma ya da firmanın bilgi güvenliği uzmanı tarafından sistemle ilgili hiçbir bilgi verilmez. En uzun süren ve en riskli uygulama türüdür çünkü pentester içine sızacağı sistem konusunda bir fikir sahibi olmadığı için sisteme zarar verebilir.

White Box: Bu uygulamada penteste ya da pentest ekibine firmayla ilgili tüm sistemsel bilgi verilir. Bu sayede pentest fikir sahibi olduğu için sistemin zarar görme riski oldukça azdır. En kısa süren ve en faydalı test türüdür.

Grey Box: Adından da anlaşılacağı gibi bu uygulama türü black ve white box uygulamalarının tam ortasında yer alır. Penteste veya ekibe firmanın sistemiyle ilgili belli başlı bilgiler verilir.

Sızma Çeşitleri:

Uygulamada olduğu gibi sızmada 3 farklı şekilde gerçekleştirilir:

• İç Ağ (Internal) Sızma Testi: Bu testteki amaç, sızılmaya çalışan kurumun iç sistemlerinden ne tarz verilere ulaşılabileceğidir.
• Dış Ağ (External) Sızma Testi; Bu testteki amaç, sızılmaya çalışan kurumun dış sistemlerinden ne tarz verilere ulaşılabileceğidir.
• Web Uygulama Sızma Testi; Bu test, ilk iki testin aynı adımlarından oluşur fakat buradaki hedef firmanın web uygulamalarıdır.

Test Adımları:

Sızma testini gerçekleştirebilmek için uygulanması gereken belli adımlar vardır. Bu adımlar uluslararası şekilde herkes tarafından kabul edilmiş metodolojilerden oluşur. Sızma yapacak şahıs ya da ekibin bu adımlara bağlı kalarak hareket etme yükümlülüğü vardır. Bu adımlar:

• Anlaşma öncesi etkileşim (Pre-engagement Interactions)
• Bilgi toplama (Intelligence Gathering)
• Tehdit Modelleme (Threat Modeling)
• Zafiyet Analizi (Vulnerability Analysis)
• İstismar (Exploitation)
• İstismar sonrası (Post Exploitation)
• Erişimleri Koruma (Access Saving)
• İzleri Temizleme (Trail Deleting)
• Raporlama (Reporting)

gibi ana başlıklardan oluşur.

Bu yazımızda sizlere penetrasyon testinden ve yapılma amacından bahsettik. Gelişen teknoloji dünyası, yeni tehditleri de beraberinde getiriyor. Bu yüzden önemli veriler içeren ve yoğun web trafiği olan her firmanın uzman ekiplerce penetrasyon testine tabi tutulması günümüzün olmazsa olmazlarından biri. Yazımızı oldukça başarılı bir film olan “WHO AM I (BEN KİMİM)”da da geçen ve siber güvenlik uzmanlarının mottosu haline gelmiş cümleyle bitiriyoruz:

“Hiçbir sistem güvenli değildir!”