OzzTech - Penetrasyon testi nedir?

Penetrasyon testi nedir?

Penetrasyon testi nedir?

Penetrasyon testi tanımı

Penetrasyon testi (sızma testi veya etik bilgisayar korsanlığı olarak da bilinir), ağlarınızdaki ve uygulamalarınızdaki güvenlik açıklarını araştırmaya yönelik sistematik bir işlemdir.

Esasen kontrollü bir bilgisayar korsanlığı şeklidir - Siber güvenlik uzmanları sizin adınıza, suçluların yararlanabileceği zayıflıkları bulmak ve test etmek için hareket eder, örneğin:

  • Yetersiz veya yanlış yapılandırma.
  • Bilinen ve bilinmeyen donanım veya yazılım kusurları.
  • Süreçlerdeki veya teknik önlemlerdeki operasyonel zayıflıklar.

Deneyimli penetrasyon test uzmanları, suçlular tarafından kullanılan teknikleri zarar vermeden taklit eder. Bu, kuruluşunuzu savunmasız bırakan güvenlik kusurlarını gidermenizi sağlar.

Penetrasyon testi neden önemlidir?

Her hafta yeni siber güvenlik açıkları belirlenir ve suçlular tarafından istismar edilir.

Bunları proaktif olarak belirlemek, kuruluşunuzun güvenliği için çok önemlidir.

Yalnızca eğitimli bir güvenlik uzmanı tarafından gerçekleştirilen bir sızma testi, karşılaştığınız güvenlik sorunlarını doğru bir şekilde anlamanızı sağlayabilir.

Kendinizi korumak için düzenli olarak sızma testleri gerçekleştirmelisiniz:

  • Bunları çözebilmek veya uygun kontrolleri uygulayabilmek için güvenlik kusurlarını belirleyin.
  • Mevcut güvenlik kontrollerinizin etkili olduğundan emin olun.
  • Hatalar için yeni yazılımları ve sistemleri test edin.
  • Mevcut yazılımdaki yeni hataları keşfedin.
  • Müşterilere ve diğer paydaşlara, verilerinin korunduğuna dair güvence verin.

Sızma testi türleri

Farklı sızma testi türleri, kuruluşunuzun mantıksal çevresinin çeşitli yönlerine odaklanacaktır. Bu sınır, ağınızı İnternet'ten ayırır.

Altyapı (ağ) sızma testleri

Altyapı güvenlik açıkları, aşağıdakiler gibi güvenli olmayan işletim sistemlerini ve ağ mimarisini içerir:

  • Sunuculardaki ve ana bilgisayarlardaki kusurlar.
  • Yanlış yapılandırılmış kablosuz erişim noktaları ve güvenlik duvarları.
  • Güvenli olmayan ağ protokolleri (modemler, hub'lar, anahtarlar ve yönlendiriciler gibi aygıtların birbirleriyle nasıl iletişim kurduğunu yöneten kurallar).

sızma testleri, bu güvenlik açıklarını tespit etmeyi ve test etmeyi amaçlar.

Altyapı sızma testi türleri

Dış altyapı (ağ) sızma testleri

Dış sızma testleri, saldırganların ağ dışından erişim elde etmesine izin verebilecek güvenlik açıklarını belirler ve test eder.

Dahili altyapı (ağ) sızma testleri

Dahili sızma testleri, içeriden erişime sahip bir saldırganın neler başarabileceğine odaklanır. Bir dahili test genellikle:

  • Potansiyel istismarları değerlendirmek için hem kimliği doğrulanmış hem de kimliği doğrulanmamış bir kullanıcı açısından test edilir
  • Yetkili oturum açma kimlikleri tarafından erişilebilen ve ağda bulunan sistemleri etkileyen güvenlik açıklarını değerlendirin; ve
  • Çalışanların bilgilere erişmesine ve yanlışlıkla çevrimiçi sızdırmasına izin verebilecek yanlış yapılandırmaları kontrol edin.

Kablosuz ağ penetrasyon testleri

Wi-Fi gibi kablosuz teknoloji kullanıyorsanız, kablosuz ağ sızma testlerini de göz önünde bulundurmalısınız.

Bunlar şunları içerir:

  • Kablosuz parmak izi, bilgi sızıntısı ve sinyal sızıntısı dahil olmak üzere Wi-Fi ağlarını tanımlama.
  • Şifre kırma, kablosuz koklama ve oturum ele geçirme gibi şifreleme zayıflıklarının belirlenmesi.
  • Kablosuz kullanarak veya WLAN erişim kontrol önlemlerinden kaçınarak bir ağa sızma fırsatlarını belirleme
  • Aksi takdirde özel ağlara ve hizmetlere erişmek için meşru kullanıcıların kimliklerini ve kimlik bilgilerini belirleme.

Web uygulaması (yazılım) sızma testleri

Web uygulama testleri, kodlama hataları veya belirli isteklere istenmeyen şekillerde yanıt veren yazılımlar gibi güvenlik açıklarına odaklanır.

Bunlar şunları içerir:

  • Hesapların verileri tehlikeye atamayacağını doğrulamak için kullanıcı kimlik doğrulamasını test etme;
  • Web uygulamalarının XSS (siteler arası komut dosyası çalıştırma) veya SQL enjeksiyonu gibi kusurlar ve güvenlik açıkları açısından değerlendirilmesi;
  • Web tarayıcılarının güvenli konfigürasyonunun onaylanması ve güvenlik açıklarına neden olabilecek özelliklerin belirlenmesi; ve
  • Veritabanı sunucusu ve web sunucusu güvenliğinin korunması.

Sosyal mühendislik penetrasyon testleri

Teknik güvenlik önlemleri geliştikçe, suçlular , hedef sistemlere erişmek için kimlik avı , pharming ve BEC (iş e-posta güvenliğinden ödün verme) gibi sosyal mühendislik saldırılarını giderek daha fazla kullanıyor .

Bu nedenle, kuruluşunuzun teknolojik güvenlik açıklarını test etmeniz gerektiği gibi, personelinizin kimlik avı ve diğer sosyal mühendislik saldırılarına karşı duyarlılığını da test etmelisiniz.

Ozztech Bilgi Güvenliği Teknolojileri ile Siber Güvenlik Danışmanlığı ve Penetrasyon testlerinden yararlanabilir, kuruluşunuzu siber saldırılardan koruyabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.