Penetrasyon testi (pentest olarak da bilinir), BT sistemlerinizdeki veya uygulamalarınızdaki güvenlik açıklarını belirlemek için gerçek dünyadaki saldırganların faaliyetlerini simüle eden bir güvenlik değerlendirmesidir.
Testin amacı, sahip olduğunuz güvenlik açıklarını, bunlardan nasıl yararlanılabileceğini ve bir saldırgan başarılı olursa etkisinin ne olacağını anlamaktır.
Genellikle önce gerçekleştirilen bir harici sızma testi (harici ağ sızma testi olarak da bilinir), çevre sistemlerinizin bir değerlendirmesidir. Çevreniz, internetten doğrudan erişilebilen tüm sistemlerdir. Tanım gereği, açığa çıkarlar ve bu nedenle en kolay ve düzenli olarak saldırıya uğrarlar.
Zayıflıkları test etme
Harici sızma testleri, hassas bilgilere erişmek ve bir saldırganın müşterilerinizi, müşterilerinizi veya kullanıcılarınızı nasıl hedefleyebileceğini görmek için bu harici, erişilebilir sistem ve hizmetlerden ödün vermenin yollarını arar.
Yüksek kaliteli bir harici sızma testinde, güvenlik uzmanları gerçek bilgisayar korsanlarının, sistemlerinizin kontrolünü ele geçirmeye çalışmak için açıklardan yararlanma gibi faaliyetlerini kopyalayacaktır. Ayrıca, kötü niyetli bir saldırganın ağınıza ne kadar girebileceğini ve başarılı bir saldırının ticari etkisinin ne olacağını görmek için buldukları zayıflıkların boyutunu da test edecekler.
Önce harici sızma testlerini çalıştırın
Harici sızma testi, saldırganın sistemlerinize veya ağlarınıza önceden erişimi olmadığını varsayar. Bu, bir saldırganın güvenliği ihlal edilmiş bir makinede zaten bir dayanağı olduğu veya fiziksel olarak binada olduğu senaryoyu test eden dahili sızma testinden farklıdır. İlk önce temelleri ele almak ve hem düzenli güvenlik açığı taraması hem de harici sızma testi yapıldıktan sonra dahili testi düşünmek genellikle mantıklıdır.
Harici sızma testi nasıl yapılır?
Peki harici bir penetrasyon testi yaptırmaya nasıl başlayacaksınız? Harici bir sızma testi planlamak, yönetilen hizmet sağlayıcınıza veya BT danışmanlığınıza sorup onları çevre sistemlerinize (etki alanları ve IP adresleri/aralıklarının bir listesi) yönlendirmek kadar basit olmalıdır.
Harici bir kalem testi normalde “Kara Kutu” temelinde yürütülür; bu, test kullanıcılarına hiçbir ayrıcalıklı bilginin (uygulama kimlik bilgileri, altyapı şemaları veya kaynak kodu gibi) sağlanmadığı anlamına gelir. Bu, kuruluşunuzu hedefleyen gerçek bir bilgisayar korsanının, IP’lerinizin ve etki alanlarınızın bir listesini keşfettikten sonra başlayacağı yere benzer.
Ancak, harici sızma testinizi düzenlerken akılda tutulması gereken birkaç önemli nokta ve durum tespiti vardır:
- Testinizi kim yapıyor? Nitelikli bir penetrasyon test cihazı mı? Sızma testi sertifikaları ve danışmanlık seçimi hakkında daha fazla bilgiyi şu adresteki kılavuzda bulabilirsiniz: penetrasyon testi şirketi nasıl seçilir.
- Ne kadar ücretlendirileceksiniz? Teklifler normalde bir günlük ücrete dayalıdır ve işinizin kapsamı, değerlendirmeyi yapmak için gereken gün sayısına göre belirlenir. Bunların her biri şirketler arasında değişiklik gösterebilir, bu nedenle neler sunulduğunu görmek için etrafa göz atmaya değer olabilir.
- Neler dahildir? Saygın hizmet sağlayıcılar, üstlenilecek işi özetleyen bir teklif veya çalışma beyanı sunmalıdır. Kapsamın içinde ve dışında olanlara dikkat edin.
- Başka ne tavsiye edilir? Açığa çıkan hizmetlerinizi ihlal edilmiş kimlik bilgilerinin yeniden kullanımı için kontrol etme, parola püskürtme saldırıları ve herkesin erişebileceği uygulamalarda web uygulaması testi içeren bir sağlayıcı seçin.
- Sosyal mühendisliği dahil etmeli misiniz? İyi bir katma değer olabilir, ancak bu tür testler bir saldırgan tarafından yeterince kararlılıkla denendiğinde neredeyse her zaman başarılıdır, bu nedenle bütçeniz sınırlıysa zor bir gereksinim olmamalıdır.
Harici penetrasyon testi ve güvenlik açığı taraması
Güvenlik açığı taramasına aşina iseniz, harici bir sızma testinin bazı benzerlikler paylaştığını fark edeceksiniz. Peki, fark nedir?
Tipik olarak, bir harici sızma testi tam bir harici güvenlik açığı taraması, ama tam da burada başlıyor. Tarama araçlarından elde edilen tüm çıktılar, yanlış pozitifleri ortadan kaldırmak, zayıflığın kapsamını/etkisini doğrulamak için istismarları çalıştırmak ve daha etkili istismarlar üretmek için birden fazla zayıflığı “birlikte zincirlemek” için bir pentester tarafından manuel olarak incelenecektir.
Bir güvenlik açığı tarayıcısı, bir hizmetin kritik bir zayıflığı olduğunu bildirdiğinde, pentest bu zayıflıktan yararlanmaya ve sistemin kontrolünü ele geçirmeye çalışır. Başarılı olursa, pentester daha ileri gitmek ve daha fazla sistem ve hizmetten ödün vermek için erişimlerini kullanır.
Sızma testleri, güvenlik açıklarına derinlemesine dalar
Güvenlik açığı tarayıcıları genellikle potansiyel sorunları tespit ederken, bir penetrasyon test cihazı bunları tam olarak araştırır ve zayıflığın ilgilenilmesi gerekip gerekmediğine dair rapor verir. Örneğin, güvenlik açığı tarayıcıları, web sunucularının sunucudaki tüm dosya ve klasörlerin bir listesini sunduğu “Dizin Listesi” hakkında rutin olarak rapor verir. Bu mutlaka kendi başına bir güvenlik açığı değildir, ancak araştırılması gerekir.
Hassas bir dosya (kimlik bilgilerini içeren bir yedek yapılandırma dosyası gibi) açığa çıkarsa ve dizin listesine göre listelenirse, basit bir bilgi sorunu (bir güvenlik açığı tarayıcısı tarafından bildirildiği üzere) kuruluşunuz için hızla yüksek etkili bir riske dönüştürülebilir. Sızma testçisinin işi, çevrilmemiş taş kalmadığından emin olmak için bir dizi araçtan elde edilen çıktıları dikkatlice incelemeyi içerir.
Ya daha sıkı testlere ihtiyacım olursa?
Gerçek bir saldırganın gerçekleştireceği, güvenlik açığı tarayıcıları tarafından gerçekleştirilmeyen bazı başka faaliyetler de dahil edilebilir, ancak bunlar test eden kişiler arasında farklılık gösterir. Bunların kapsam dahilinde olmasını istiyorsanız, pentesti planlamadan önce teklifi kontrol edin veya sorular sorun. Örneğin:
- Açığa çıkan VPN’lerde ve diğer hizmetlerde kullanıcı hesaplarını ele geçirmeye çalışmak için sürekli parola tahmin etme saldırıları (püskürtme, kaba kuvvet)
- Çalışanlarınızın bilinen ihlal edilmiş kimlik bilgileri için karanlık ağ ve ihlal veritabanlarını kazıyıp bunları yönetim panellerine ve hizmetlere doldurma
- Kendi kendine kayıt mekanizmasının mevcut olduğu web uygulaması testi
- Çalışanlarınıza kimlik avı yapmak gibi sosyal mühendislik saldırıları
Sızma testleri normal güvenlik açığı testinin yerini alamaz
Her gün yeni kritik güvenlik açıklarının keşfedildiğini ve saldırganların genellikle en ciddi zayıflıklardan keşiflerinden sonraki bir hafta içinde yararlandıklarını unutmayın.
Harici bir sızma testi, açıktaki sistemlerinizin güvenliğini derinlemesine incelemek için önemli bir değerlendirme olsa da, en iyi şekilde, hali hazırda sahip olmanız gereken düzenli güvenlik açığı taramasını tamamlamak için ekstra bir hizmet olarak kullanılır!
Davetsiz misafir hakkında
davetsiz misafir sürekli güvenlik açığı taraması ve penetrasyon testi hizmetleri sağlayarak kuruluşların saldırı yüzeylerini azaltmalarına yardımcı olan bir siber güvenlik şirketidir. Intruder’ın güçlü tarayıcısı, yüksek etkili kusurları, saldırı yüzeyindeki değişiklikleri anında tespit etmek ve ortaya çıkan tehditlere karşı altyapıyı hızla taramak için tasarlanmıştır. Yanlış yapılandırmaları, eksik yamaları ve web katmanı sorunlarını belirleme dahil olmak üzere binlerce kontrol gerçekleştiren Intruder, kurumsal düzeyde güvenlik açığı taramasını herkes için kolay ve erişilebilir hale getirir. Intruder’ın yüksek kaliteli raporları, potansiyel müşterilere iletmek veya ISO 27001 ve SOC 2 gibi güvenlik düzenlemelerine uymak için mükemmeldir.
Intruder, güvenlik açığı değerlendirme platformunun 30 günlük ücretsiz deneme sürümünü sunar. Bir tur atmak için bugün web sitelerini ziyaret edin!