Penetration Testing (Sızma Testleri ) bir saldırganın sistemlerimize verebileceği zararı görebilmek adına güvenlik uzmanları tarafından yapılan saldırı simülasyonudur.
Pentest Türleri Sistem Sızma Testleri 3 seçenekte değerlendirilebilirler
1. Beyaz Kutu (White Box): Beyaz kutu testi network teki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden network e girmeye ve zarar vermeye çalışmasının saldırı simülasyonu dur.
2. Siyah Kutu (Black Box): Siyah kutu testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan network e ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır.
3. Gri Kutu (Grey Box): Gri kutu testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde firma / kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türüdür.
Pentest Adımları;
Dışarıdan Network e Sızma Testi
1. İnternete açık sistemlerin tespit edilmesi ve güvenlik açıklarının taranması.
2. Network de bulunan Güvenlik Duvarı, IDS, IPS, Yönlendirici (Router) vb.. cihazların test edilmesi
3. Uzaktan Network’ e Ulaşma Testleri
4. Fiziksel güvenlik testleri
a. Sunucu Odası
b. Çalışma alanları
c. Network altyapısı
5. Sosyal mühendislik testleri
6. Kablosuz Network e sızma testleri
a. Erişim noktalarının testleri
b. Şifreleme türlerinin tespiti ve kırılma testleri
7. Dışarıya açık sistemlerin DOS saldırılarına karşı testleri
8. Web yazılımlarının testleri
Network güvenlik testi
1. Aktif sistemlerin tespit edilmesi .
2. Network haritasının çıkartılması.
3. Networkte bulunan işletim sistemlerinin tespit edilmesi.
4. Tespit edilen sistem ve cihazların rolleri.
5. Aktif sistemler üzerindeki açık port ların tespit edilmesi.
6. Bulunan açık portlar da çalışan servislerin tespiti.
7. Açık portlar da bulunan servislerin zayıflıklara karşı test edilmesi.
8. IDS, IPS, Güvenlik duvarı, içerik filtreleme ve benzer güvenlik uygulamalarının test edilmesi.
9. Kurum güvenlik politikaları dâhilinde internet erişimlerinin güvenliğinin kontrolü.
10. Anti-Virüs ve anti-Spam yazılımlarının kontrolü.
11. Network dinleme ve şifre güvenliği testleri.
12. Yetki yükseltme.
Güvenlik Testi Raporu
Test Sırasında
1. Günlük: Günlük olarak yapılan işlemlerin mesai bitiminde raporlanması. Zayıflıklar ve Exploitler Yetkisiz veriye ulaşılması, trafik anormallikleri
Test Sonrası
1. Güvenlik testi sonuç raporunun sunulması
Rapor İçeriği
Yapılan güvenlik testleri sonucu bulunan zayıflıklar ve çözüm önerilerinin sunulması.Güvenlik politikalarının belirlenmesi ve uygulanması konusunda önerileri içerir.
0 yorum:
Yorum Gönder