ARİDOSHİKA

Ulaşabildiğin her yerde

(PENETRASYON) SIZMA TESTİ NEDİR?

2 min read

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır. Böylelikle penetrasyon testi yapan güvenlikçiler, saldırgan gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak ve saldırganların deneyebileceği tüm yöntemleri deneyerek gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının onarılmış ve güvenli olmasını sağlamaktadırlar.

Penetrasyon Testlerinin Çeşitleri

 

White Box (Beyaz Kutu)

Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dâhil olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır.

 

Black Box (Siyah Kutu)

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz sadece hedef verilir. Bilgi sızdırmak ya da zarar vermek amacıyla sızmaya çalışan bir saldırgan gibi davranılarak verilebilecek zararlar gözetilir ve raporlanır.

 

Gray Box (Gri Kutu)

White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Gray Box’ta ek olarak çeşitli yetkilerle sisteme sızma denetimleri gerçekleştirilir.

 

Anlaşma öncesi etkileşim: Testte kullanılacak yöntem ve araçların açıklanması; kapsam, testin ne kadar sürede tamamlanacağı, nelerin test edileceği ve kapsamda belirtilmeyen şeyler için ek desteğin verilmesi.

 

Bilgi toplama: Testi yapılacak kurumun hakkında stratejik bir atak planı oluşturmak adına kurumun girdi noktaları hakkında bilgi toplanması.

 

Zafiyet Analizi: Saldırganların istismar etmesine neden olacak sistem ve uygulama zafiyetlerini ortaya çıkarmak

 

İstismar: Güvenlik kısıtlamalarını atlatarak sisteme ve kaynaklara erişim sağlayarak kurumun giriş noktasını bulmak ve yüksek değerli eşyaları saptamak

 

İstismar sonrası: Ele geçirilen makinenin barındırdığı bilgilerin değerinin belirlenmesi ve makinenin ağdaki diğer hedeflerde kullanılması için kontrolünün sürdürülmesi

 

Raporlama: Raporda testle ilgili tüm teknik detaylara ve test yapılması için üzerinde anlaşılan cihazlara ve programlara yer verilmesi gerekmektedir.

 

Penetrasyon Test Çeşitleri
DOS/DDoS Sızma Testi Wireless Sızma Testi
Sosyal Mühendislik Sızma Testi                                                                                                                                                                                                                                                                                                            Web Uygulama Sızma Testi
Network Sızma Testi
Mobil Sızma Testi

 

Bu Yazı Resul Çulha aittir

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

0