Ali Kuru ile Siber Güvenlik

Ali Kuru ile Siber GüvenlikAli Kuru ile Siber GüvenlikAli Kuru ile Siber Güvenlik
  • Ana Sayfa
  • SOC
  • Pentest
  • Bilgi Güvenliği
  • SIEM
  • Kişisel Güvenlik
  • Daha fazlası
    • Ana Sayfa
    • SOC
    • Pentest
    • Bilgi Güvenliği
    • SIEM
    • Kişisel Güvenlik

Ali Kuru ile Siber Güvenlik

Ali Kuru ile Siber GüvenlikAli Kuru ile Siber GüvenlikAli Kuru ile Siber Güvenlik
  • Ana Sayfa
  • SOC
  • Pentest
  • Bilgi Güvenliği
  • SIEM
  • Kişisel Güvenlik

Sızma testi

SIZMA TESTI (Penetrasyon Testi)

  

Kavramsal olarak bilgisayar korsanlığı, daha önce bilinmeyen şeyleri yapma yollarını en iyi şekilde uygulama yeteneği olarak literatüre girmiştir. Bu bağlamda, gerçek dünya hack'lerini simüle etmek için sızma testleri yapmaktayız. Sızma testinde bir metodolojiyi savunmanın ardındaki neden, çoğu bilgisayar korsanının bir sisteme girme konusunda ortak bir yaklaşımı takip etmesinden kaynaklanmaktadır. Sızma testi (pentrasyon ya da pentest) bir kuruluşun güvenlik modelindeki boşlukları ortaya çıkarmak ve kuruluşların, potansiyel güvenlik ihlallerini teknik beceri ve iş işlevselliği arasında bir dengeye ulaşmasına yardımcı olur.

Kuruluşun ağına bağlı sistemlerine yetkisiz erişim elde etmek ve daha sonra güvenliğini aşmak için kullandıkları yöntemleri süreçlerine penetrasyon veya sızma testi denir. Sızma testi, sistem yapılandırmaları, tasarım zayıflıkları, ağ mimarisi, teknik kusurlar ve güvenlik açıklarının aktif bir analizini içerir. Otomatik tekniklerin yanı sıra, sızma testi, önceden tespit edilmemiş olabilecek güvenlik kusurları olmadığından emin olmak için belirli sistemlerde hedefli testler yapmak için manuel teknikler de içerir. Sızma testi bağlamında, test cihazı kaynaklarla sınırlıdır. Sızma testi sürecinin tamamlanması üzerine sızma test cihazları güvenlik açıklarının ayrıntılarını içeren kapsamlı bir rapor sunar.


Eksik yapılan ve profesyonel olmayan standartlara uygun olmayan sızma testleri, hizmet kaybına ve iş sürekliliğinin bozulmasına neden olabilir. Bu nedenle, çalışanlar veya uzmanlar, uygun izin olmadan sızma testleri yapmamalıdır. Sızma testi için prosedürlerin amaçları, sınırlamaları ve gerekçeleri gibi parametrelerin oluşturulmalıdır. Testini yapmak için yüksek vasıflı ve deneyimli profesyoneller ile çalışmak gerekmektedir. Gizlilik kurallarına ve kurum etik, ahlakına uygun ayrıca da yasal süreçlere uygun olarak yapılmalıdır. Politika, prosedür, tasarım ve uygulama da dahil olmak üzere kuruluşun güvenliğinin kapsamlı bir değerlendirmesini sağlamak amaçlı olarak hizmet verilmesi gerektiği unutulmamalıdır. 


Güvenlik Açığı Değerlendirmesi ise bir güvenlik açığı değerlendirmesi, bilgi sistemindeki güvenlik açıklarını keşfetmeye odaklanır, ancak güvenlik açıklarından yararlanılabileceği veya güvenlik açığından başarıyla yararlanılabileceği zarar miktarıyla ilgili herhangi bir belirti sağlamaz.

Sızma Testi ise, güvenlik denetimine ve güvenlik açığı değerlendirmesini kapsayan ve sistemdeki güvenlik açıklarından saldırganlar tarafından başarıyla yararlanılıp kullanılamayacağını gösteren güvenlik değerlendirmesine yönelik metodolojik bir yaklaşımdır. Sızma testleri iki farklı takım yaklaşımı ile yapılmaktadır. Bunlar Mavi ve Kırmızı Takımlardır. 


Mavi Takım (Blue Team)

Bir grup güvenlik müdahalesinin, güvenlik kontrollerinin yeterliliğini ve verimliliğini değerlendirmek için bir bilgi sisteminin analizini yaptığı bir yaklaşımdır. Mavi ekip aynı zamanda savunma ekibi olarak da bilinir ve güvenlik açıklarını tanımlamak, güvenlik önlemlerinin yeterliliğini belirlemektedir.


Kırmızı (Red Team)

Kırmızı ekip saldırgan ekip olarak da bilinir, ve kuruluşun güvenlik duruşunu test etmek için kötü niyetli bir saldırgan gibi kuruluşun dijital altyapısına saldırı başlatmaya çalışan bir grup beyaz şapka korsanıdır. Kırmızı ekip, bir kuruluştaki çeşitli departmanlardan sistem yöneticilerini içerebilir. Uyarı ile veya uyarı olmadan gerçekleştirilebilir. Ağ ve sistem güvenlik açıklarını tespit etmek ve bir saldırganın ağ, sistem veya bilgi erişimine bakış açısıyla güvenliği kontrol etmektedirler.


Pentest Çeşitleri

Kara Kutu Testi (Black Box - Sıfır Bilgi)

Gerçek dünya saldırılarını simüle etmek için kalem test cihazları kara kutu testi (black box) veya istemciden bilgi veya yardım almadan yapmaktır. Hizmetleri, paylaşılan dosya sistemlerini ve işletimi numaralandırırken ağı haritalayabilirler sistemlere gizlice sızar ve zaman alıcı ve pahalıdır.


Beyaz Kutu Testi (White Box - Tam Bilgi)

Kuruluş, belirli bir saldırı türüne veya belirli bir hedefe karşı güvenliğini değerlendirmek istiyorsa, ağı test edenlere ağ hakkında tam bilgi verebilir. Sağlanan bilgiler ağ topolojisi belgelerini, varlık envanterini ve değerleme bilgilerini içerebilir. Genellikle, bir kuruluş güvenliğinin tam olarak denetlenmesini istediğinde bunu tercih eder. Tüm bunlara rağmen, bilgi güvenliğinin devam eden bir süreç olduğunu ve penetrasyon testinin herhangi bir zamanda bir kuruluşun güvenlik duruşunun anlık görüntüsünü verdiğini belirtmek önemlidir. Güvenlik uzmanları BT personeli bilgisi olsun olmasın beyaz kutu testi yapabilirler. 


Gri Kutu Testi (Kısmi Bilgi Testi)

Gri kutu testi, hem kara kutu hem de beyaz kutu test yöntemlerini birleştirir. Bir saldırganın bulabileceği ve kullanabileceği güvenlik açıklarını test etmek en yaygın yaklaşımdır. Bazı durumlarda kuruluşlar, test kullanıcılarına, bilgisayar korsanlarının bulabileceği kısmi bilgi veya alan adı sunucusu gibi bilgileri sağlamayı tercih eder. Bu bilgiler aynı zamanda bir kuruluşun genel olarak algılanan varlığını ve güvenlik açıklarını içerebilir. Sızma test ekibi ayrıca sistem ve ağ yöneticileri ile etkileşime girebilir.

Telif Hakkı © 2020 Ali KURU - Tüm Hakları Saklıdır.

AliKuru Web Sitesi İmzalıdır.