PENETRASYON TESTİ NEDİR? KURUMUNUZ İÇİN GEREKLİ MİDİR? SIZMA TESTİ HAKKINDA GENEL BİLGİLER

Günümüz dünyasında artık hayatımızın bir parçası olan dijital, kaçınılmaz olarak iş yeri süreçlerinin de vazgeçilmezi olmuştur. Hangi iş sektöründe olursanız olun, hemen hemen tüm kulvarlarda internetin, yazılımların, bilgisayarlarda kayıtlı hassas bilgilerin ve çeşitli dijital süreçlerin olmadığı bir gün neredeyse yoktur. Telefonunuzdan veya bilgisayarınızdan attığınız bir e-posta veya whatsapp yazışması bile sözü geçen dijital eylemlerin bir parçası olarak alınabilir.
Tüm bu gelişmeler doğal olarak kademeli bir şekilde siber suçları ve bunlara karşı tedbir olan penetrasyon testi çalışmalarını da beraberinde getirmiştir. Ülkemizde bu yöntem aynı zamanda sızma testi olarak da isimlendirilmektedir. Günümüzde küçük, orta ve büyük şirketleri hedef alan siber saldırıların masrafları milyonlarca doları bulmaktadır. Ne yazık ki anti-virüs yazılımı gibi geleneksel önlemler, etkin olmakla beraber yeterli gelmemektedirler.
Günümüzde dijital sistemler o kadar kompleks hale gelmişlerdir ki, gözden kaçan açıklıkların olmaması söz konusu değildir. Dijital sistemleri milyonlarca kilometre uzunluğunda bir duvara benzetirsek, o ya da bu şekilde oluşan bir gedikten veya zayıflıktan, saldırgan kişiler sızabilmektedir. Bu durum doğal olarak siber güvenlik kulvarında soru işaretleri oluşturmuş ve nasıl önlem alınabileceği sorunsalını doğurmuştur. Verilen iki cevaptan biri zafiyet analizi, diğeri ise penetrasyon testi şeklinde olmuştur. Saldırgan bir savunma yöntemi olan penetrasyon testi günümüzde en sık kullanılan ve en sağlıklı savunma yöntemlerinden birisi olarak kabul edilen siber savunma yöntemidir. Bu yazımızda sizlere penetrasyon testi ile alakalı çeşitli bilgiler vereceğiz.

Genel Tanımıyla Penetrasyon Testi

Sızma Testi için daha akademik bir tanım yapmak isabetli olacaktır. Mevcut bir sisteme kullanılabilecek tüm metotlar kullanılarak sızılması işlemi olan pentest ana hedefi güvenlik açığı aracılığıyla sistem üzerinde yetki sahibi olmak olan bir testtir. Testin sonucunda olası facialar ve süreç raporlanarak sistem sahibine sunulur ve gerekli önlemlerin alınması için çalışmalar başlatılır.
Siber güvenlik çalışmalarında akademik ve örnek çalışma olarak kaydedilmiş sayısız saldırıdan yola çıkarak şu sonuca varabiliriz; siber güvenlik kulvarına yeterince yatırım yapılmadığında ortaya vahim sonuçlar çıkmaktadır. 2019 senesinde 10 milyar doları bulan ve sürekli yükseleceği öngörülen siber saldırıları maliyeti de bu görüşü doğrulamaktadır.
Penetrasyon testi çalışmalarına yeterince önem verilmediğinde, elzem olan güvenlik önlemleri ve yazılımları sağlıklı bir şekilde entegre edilmediğinde, siber güvenlik ve sızma testi konusunda donanımlı bilgiye sahip çalışanlar ekipte bulundurulmadığında doğabilecek sonuçlar son derece endişe vericidir.

Bu sonuçlar içerisinde sistemin haftalarca bloke olması, kayıtlı dosyaların kilitlenmesi ve açılması için para talep edilmesi, hassas ve kritik bilgilerin çalınması veya yok edilmesi ve benzeri sonuçlar yer almaktadır. Tüm bu veriler birleştirildiğinde basit bir önlemin, kurumları ağır sonuçlardan koruyabileceği aşikardır.

Sızma Testi Hangi Aşamalarla İlerler?

Penetrasyon Testi veya sektörde sık kullanılan adıyla pentest çeşitli yöntemlerle eyleme dökülebilmektedir. Bu yöntemleri kısaca inceleyerek konuya bir nebze daha hakim olalım:
a) Sisteme veya Ağa Sızma Testi
Bu yöntemde kurulu olan bir sisteme yahut ağa sızılmaya çalışılır. Bunun yapılmasına olanak verecek insan veya yazılım açığı aranır. Bir kez sızma gerçekleştirildiği zaman, sisteme veya ağa bağlı olan diğer cihazlara da erişim ve komut verme yetkisi de elde edilebilir.
b) Mobil Uygulamaya Sızma Testi
Günümüz hackerlarının geliştirdiği çeşitli yöntemlerle, mobil bir uygulama üzerinde yönetici yetkisi elde edilmeye çalışılır. Penetrasyon Testi akabinde bu yetki elde edilirse, hem kullanıcı hem de üretici açısından tehlikeli bir durumun ortaya çıkabileceği gerçeği kanıtlanmış olunur.
c) E-Posta Sunucusuna Sızma Testi
Kurumun yararlandığı e-posta sunucusu üzerinde yetki elde edilerek mail trafiği, mail içeriği ve kayıtlı mailler üzerinde yetki elde edilir. Böylece olası bir saldırganın mailler aracılığıyla data yok etme, kaçırma veya rehin alma eylemi gerçekleştirebileceği saptanmış olur.
d) Sosyal Mühendislik & İnsan Faktörüyle Sızma Testi
Bu yöntemde, günümüz hackerlarının en sık kullandığı oltalama (zararlı yazılım indirilmesiyle sonuçlanacak bir süreç başlatan mail atma), insan zaaflarından yararlanma, ve benzeri metotlar kullanılır. Günümüz siber saldırılarının büyük bir çoğunluğu insan kaynaklı açıklardan kaynaklanmaktadır.
e) Diğer Yöntemler
İyi bir penetrasyon testi bu testi gerçekleştiren ekibin tecrübesiyle doğru orantılıdır. Bu durumu bir tatbikat gibi düşünmek isabetli olacaktır. Provası alınan saldırı ne kadar gerçeğe yakın ve detaylı olursa, gerçek bir saldırıya karşı hazırlıklı olma şansı da o kadar yüksek olacaktır.

Küçük ve Orta Kurumlar İçin Pentest

Ne yazık ki her şeyde olduğu gibi sızma testi konusunda da ucuz ve sağlıksız hizmet veren birçok seçenek bulunmaktadır. Bu seçenekler yıllar önce uygulanmış ve gerçek bir saldırganın gülüp geçeceği yöntemleri kullanarak önlem almaktadır ve aldıkları önlemlerle çıkartılan raporlar genellikle güncel olmaktan uzaktır.
Hackerların ve diğer siber saldırganların en sevdikleri hedefler arasında orta ve orta ile büyük ölçek arasındaki şirketler yer alır. Bunun nedeni söz konusu şirketlerin genellikle önlem almaması ve kolay hedef olmalarıdır. Rootcon olarak kurumunuzu, ölçeği küçük yahut büyük olsun siber saldırılara karşı güvence altına almaya hazırız.

Güncel saldırılara ve yeni zafiyetlere aşina, işinin ehli, dinamik bir takım tarafından derinlemesine gerçekleştirilen penetrasyon testi çalışmamızla, hizmetinizdeyiz. Detaylı bilgi almak için tıklayınız.

Güvenli günler dileriz…