Penetrasyon Testi

Pentest – Penetrasyon Testi kötü amaçlı bir saldırganın içeriden yada dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur.

Penetrasyon testi – kurumunuza siber güvenlik vizyonu, bakış açısı, zafiyetlerin tespiti ve giderilmesi, olası yeni açıkların kontrolü, sistemlerin iyileştirilmesi ve sıkılaştırılması gibi konularda katkı ve tecrübe sağlar.

Penetrasyon Testleri TQNET’in CWH (Certified White Hat Hacker) yani beyaz şapkalı hackerları tarafından gerçekleştirilmektedir.

Beyaz Şapkalı Hacker (Certified WhiteHat Hacker), bilişim suçları işleyen korsanların kullandıkları teknik ve yöntemleri bilen, korsanların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, kısacası bilgisayar dünyasının kötü adamları ile aynı bilgi ve beceriye sahip, iyi niyetli güvenlik uzmanıdır.

Pentest Çeşitleri Nelerdir?

Pentest hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak üçe ayrılır.

  • İç Ağ (Internal) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.
  • Dış Ağ (External) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.
  • Web Uygulama Sızma Testi: Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır ancak odak noktamız web uygulamalarıdır.

Penetrasyon testi 3 farklı şekilde gerçekleştirilebilir:

  • Blackbox (Kara Kutu) Penetrasyon Testi
  • Graybox (Gri Kutu) Penetrasyon Testi
  • Whitebox (Beyaz Kutu) Penetrasyon Testi

Penetrasyon testi Adımları:

  1. Planlama Hazırlık: Yaptırılacak sızma testi çalışmasından olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapılması gerekmektedir. Pentest planınızı en azından aşağıdaki soruları cevaplayarak hazırlamanız gerçekleştirilecek testten üst düzeyde verim almanızı sağlayacaktır.
  • Sızma Testi’nin kapsamı ne olacak? (White Box, Gray Box, Black Box)
  • Ne çeşit bir sızma testi istiyorum? (Internal Pentest, External Pentest, Web Application Pentest)
  • Testleri kime yaptıracağım?
  • Ne kadar sıklıkla yaptıracağım?
  • Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu görmek ister miyim?
  • Pentest kapsamında DDOS testleri de gerçekleştirilecek mi?
  1. Uygulama:
  • Web Uygulama Güvenlik Testleri
  • Mobil Uygulama Güvenlik Testleri
  • DNS/E-Posta Sistemi Güvenlik Testleri
  • Yerel AĞ Güvenlik Testleri
  • Güvenlik Sistemleri Sızma Testleri
  • Sosyal Mühendislik Sızma Testleri
  • Kablosuz Ağ Güvenlik Sızma testleri
  • Interbnet Üzerinden Ağ ve Sistem Testleri
  • Veri tabanı sistemleri Sızma testleri
  • SoS/DdoS ve performans Testleri
  • VoIP ve Yeni Nesil İletişim Sistemleri Sızma Testleri
  1. Raporlama: Pen-test raporunda olması gerkenler;
  • Yöneticilere ve teknik çalışanlara özel iki farklı rapor
  • Raporların okunabilir ve anlaşılır olması
  • Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
  • Pentest raporunun şifreli bir şekilde iletilmesi
  • Keşfedilen güvenlik açıklarının nasıl kapatılacağı konusunda çözüm önerilerinin sunulması