Pentest (Penetrasyon Testi), bilgisayar sistemlerinde bulunan güvenlik açıklarının tespit edilmesi için uygulanan bir güvenlik testi işlemidir. Pentest veya pentesting işlemi, sistemler üzerinde bulunan güvenlik açıklarından yararlanan saldırganların yapabilecekleri işlemleri simüle eder. Böylece bir kurum siber saldırıya uğramadan önce güvenlik açıkları belirlenebilir ve gereken çözümler uygulanarak güvenlik açıkları giderilebilir.
Teknolojinin gelişmesi ve yeni sistemlerin ortaya çıkması, yeni güvenlik açıklarını meydana getirir. Kurumlar bilgisayar sistemlerini siber saldırılardan korumak için güncel tehditlere karşı hazırlıklı olmalıdırlar. Bu nedenle düzenli olarak Pentest işlemi yapılmalıdır. Pentest yapan firmalar, kurumların sistemlerine yönelik güvenlik testleri gerçekleştirmek için Pentest Hizmeti sağlarlar. Bu firmalar, pentest hizmetinden yararlanmak isteyen kurumlara pentest teklifi sunarlar. Bu hizmetten yararlanan kurumlar ve siber güvenlik firmaları arasında imzalanan gizlilik sözleşmeleri dahilinde, alanında kendini kanıtlamış siber güvenlik uzmanları tarafından kurum sistemlerine yönelik güvenlik testleri uygulanır. Pentest işlemini gerçekleştiren uzmanlar Pentester olarak adlandırılır. Pentesterlar bir saldırgan gözünden kuruma ait sistemleri hedefleyerek bu sistemlere sızmaya çalışırlar. Ardından kuruma iletmek üzere elde edilen sonuçları içeren bir pentest raporu hazırlarlar.
Pentest Yapan Firmalar
- Bir kuruma ait varlıkları etkileyen güvenlik açıklarını belirlemek
- Kurumu etkileyen risk ve tehditleri ortaya çıkarmak
- Uygulanan prosedürlerin, politikaların ve tasarımların doğruluğunu teyit etmek
- Saldırganlar tarafından kurum güvenliğinin ihlal edilmemesi için, sistemleri güvence altına almak amacıyla plan yapmak
- Bir siber saldırıdan başarılı sonuç alan saldırganların erişebilecekleri noktaları belirlemek
- Mevcut güvenlik mimarisini değiştirmek veya geliştirmek
- Saldırganlar tarafından kurum güvenliğinin ihlal edilmesi sonucunda oluşabilecek imaj kaybı ve maddi hasarı engellemek
- Kurum tarafından kullanılan güvenlik cihazlarının verimliliğini değerlendirmek
- Bir siber saldırı sonucunda güvenliği ihlal edilen kurumların gelecek saldırılardan etkilenmemeleri için tehditleri ortaya çıkarmak
Pentest Yaklaşımları Nelerdir?
Pentest işlemi; blackbox, graybox ve whitebox olmak üzere üç yaklaşımda gerçekleştirilir. Bu yaklaşımların açıklamaları aşağıda yer almaktadır:
- Blackbox (Siyah Kutu Testi): Blackbox, kurum sistemleri hakkında herhangi bir bilginin güvenlik uzmanlarına verilmediği bir pentest yaklaşımıdır. Bu yaklaşımda, pentesterların herhangi bir bilgi sahibi olmadıkları sistemler hakkında bilgi toplamaları ve güvenlik testleri yapmaları beklenir. Bu yaklaşımın amacı, kurum sistemleri hakkında herhangi bir bilgi sahibi olmayan saldırganların yapabilecekleri işlemlerin simüle edilmesidir.
- Graybox (Gri Kutu): Graybox, güvenlik uzmanlarının kurum sistemleri hakkında bazı bilgilere sahip olduğu bir pentest yaklaşımıdır. Bu yaklaşımda pentesterlara; IP adresi listesi, sunucu sistem ile ilgili versiyon bilgisi vb. hakkında bilgiler sağlanır. Bu yaklaşımın amacı, bir kurumun ağ altyapısına erişim elde eden saldırganların yapabilecekleri işlemlerin simüle edilmesidir.
- Whitebox (Beyaz Kutu): Whitebox, güvenlik uzmanlarının kurum sistemleri hakkında tam bilgi sahibi olduğu bir pentest yaklaşımıdır. Bu yaklaşımın amacı, sistemler hakkında tam bilgi sahibi olan kötü niyetli kurum çalışanlarının yapabilecekleri işlemlerin simüle edilmesidir.
Pentest Metodolojileri Nelerdir?
Pentest işlemi ulusal ve uluslararası metodolojiler baz alınarak gerçekleştirilir. Bunun sebebi pentest işleminin bir standarta uygun olarak gerçekleştirilmesidir. Aşağıda ulusal ve uluslararası metodolojik yaklaşımlar yer almaktadır:
Ulusal Metodolojik Yaklaşımlar
- TSE (TS-13638)
- Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
- BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi
Uluslararası Metodolojik Yaklaşımlar
- NIST 800-115
- OSSTMM
- OWASP
- ISSAF
Pentest Evreleri Nelerdir?
Pentest işlemi aşağıda yer alan aşamalar uygulanarak gerçekleştirilir:
- Bilgi Toplama: Bu aşamada bir kuruma ait hedef sistemler hakkında bilgi toplanır. Bilgi toplama bir pentest işleminin en önemli aşamasıdır. Bir saldırgan kurum hakkında ne kadar fazla bilgiye sahip olursa, kurumun sistemlerine zarar verme ihtimali o kadar artar. Bu nedenle kurumun sistemlerine yönelik saldırıya geçmeden önce, ilk olarak bilgi toplama işlemi gerçekleştirilir. Bilgi toplama aşaması, pasif bilgi toplama ve aktif bilgi toplama olmak üzere iki şekilde uygulanır. Pasif bilgi toplama işlemi, kuruma ait sistemler ile iletişime geçmeden, bu sistemler hakkında dış kaynaklar üzerinden araştırma yapılarak gerçekleştirilir. Pasif bilgi toplama işleminin amacı kuruma ait varlıkların ve kaynakların neler olduğunu ortaya çıkarmaktır. Aktif bilgi toplama işlemi ise kuruma ait sistemler ile iletişime geçilerek, bu sistemler hakkında ve sistemler üzerinde çalışan servisler hakkında bilgi toplamak amacıyla gerçekleştirilir. Aktif bilgi toplama işleminin amacı, hedef sistemlere yönelik sızma işlemi gerçekleştirmek için güvenlik açığı değerlendirmesi yapılacak olan noktaların belirlenmesidir.
- Enumeration: Enumeration, bilgi toplama aşamasından sonra gelen, hedef sistem hakkında en fazla bilginin elde edilmeye çalışıldığı aşamadır. Bu aşamada; açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler “banner grabbing” olarak adlandırılan yöntem ile öğrenilir. Manuel testler ile elde edilen bilgilerin doğruluğundan emin olunduktan sonra bu bilgiler ışığında zafiyet veritabanları taranır ve bilinen zafiyetler sonraki aşamalarda kullanılmak üzere not alınır.
- Zafiyet Tarama: Bu aşamada, elde edilen bilgilerden yola çıkılarak hedef sistemleri etkileyen zafiyetlerin tespit edilmesi için zafiyet taraması gerçekleştirilir.
- Exploitation: Bu aşamada hedef sistemleri etkileyen güvenlik zafiyetlerinden yararlanarak sızma denemeleri gerçekleştirilir. Denemelerin başarılı olması sonucunda hedef sistemden bir oturum elde edilir. Böylece elde edilen oturum üzerinden hedef sistem komuta ve kontrol edilebilir.
- Post-Exploitation: Pentest işlemi kuruma ait bir sistem ele geçirildikten sonra, kurum ağına bağlı diğer cihazların ele geçirilmesi için devam eder. Bu aşama, ele geçirilen bir sistem üzerinden kuruma ait diğer sistemlerin ele geçirilmesi için uygulanan tüm işlemleri kapsar. Bir sistemi ele geçiren saldırgan bu sistem üzerinde bulunan bir yerel güvenlik açığından yararlanarak hak ve yetki yükseltme işlemi gerçekleştirir. Ardından ağ üzerinde bulunan diğer cihazları keşfeder ve ele geçirdiği sistem üzerinden elde ettiği bilgilerle diğer sistemlere erişmeye çalışır. Post-Exploitation aşaması kuruma ait tüm sistemlerin kontrolü ele geçirilene kadar devam eder.
- Yapılan İşlemlerin Geriye Alınması: Pentest işleminde uygulanan bazı işlemler kuruma ait sistemler üzerinde değişiklik yapılmasını gerektirebilir. Bir pentest işlemi bitirilmeden önce bu değişiklikler geri alınmalıdır ve sistemler ilk ele geçirildiği andaki haline döndürülmelidir.
- Raporlama: Elde edilen sonuçlardan kurumun haberdar olması için tüm bulgular pentesterlar tarafından raporlanır. Bir rapor aşağıda yer alan maddeleri içerir:
- Gerçekleştirilen güvenlik denetim çalışmasına ve bulgulara ilişkin yönetici özeti
- Test sırasında tespit edilen zafiyetlerin kritiklik seviyelerini, hangi sistemlerde bu zafiyete rastlandığını gösteren ve zafiyeti ortadan kaldırmaya yönelik çözüm önerilerinin bulunduğu zafiyet kimlik kartları
PENTEST NEDİR, ÇEŞİTLERİ NELERDİR?
Bir pentest işleminin gerçekleştirilmesi hedef sistemlerin türüne göre farklılık gösterir. Pentest işlemi, kurum tarafından belirlenen senaryo dahilinde gerçekleştirilir. Pentest çeşitleri aşağıda yer almaktadır:
- Web Uygulama Güvenlik Testleri: Web uygulama güvenlik testleri, kuruma ait internet ortamında yayın yapan web sunucularına ve bu sunucular üzerinde bulunan web uygulamalarına yönelik gerçekleştirilir. Web uygulamalarını ve web sunucularını etkileyen güvenlik açıkları, OWASP Top 10 güvenlik açıkları baz alınarak değerlendirilir.
- Mobil Güvenlik Testleri: Mobil güvenlik testleri, Android ve iOS işletim sistemleri üzerinde çalışan mobil uygulamalara yönelik gerçekleştirilir. Mobil uygulamalara yönelik güvenlik testleri OWASP TOP 10 Mobil Güvenlik Riskleri baz alınarak gerçekleştirilir.
- Yerel Ağ Güvenlik Testleri: Yerel ağ güvenlik testlerinde, bir kurumun iç ağında bulunan tüm sistemlere yönelik zafiyet araştırması yapılır ve kuruma ait varlıklarda bulunan hatalar ortaya çıkartılır.
- Veritabanı Güvenlik Testleri: Veritabanı güvenlik testleri; veritabanları üzerindeki varsayılan konfigurasyonlardan kaynaklanan zafiyetlerin tespit edilmesi, gereksiz yetkilerin tanımlanması, ön tanımlı parolaların tespit edilmesi gibi veritabanı sistemlerine özel güvenlik zafiyetlerinin tespit edilmesi amacıyla gerçekleştirilir.
- Network Testleri: Network testleri, ağ cihazlarını ve sistemler üzerinde çalışan ağ protokollerini etkileyen güvenlik zafiyetlerinin tespit edilmesi amacıyla gerçekleştirilir.
- Kablosuz Ağ Güvenlik Testleri: Kablosuz ağ güvenlik testleri, kablosuz servisleri yetkisiz erişime karşı korumak için geliştirilmiş olan güvenlik kontrollerinin yeterliliğini değerlendirir. Kablosuz ağ güvenlik testleri, kablosuz SSID’lere erişim sağlamak veya özel ağlardan izole edilmesi amaçlanan misafir SSID’ler üzerinden hak ve yetki yükseltmek üzere gerçekleştirilir.
- DDoS: DDoS testleri bir kuruma ait sistemlerin servis dışı bırakma saldırılarına karşı ne kadar korunaklı olduğunu tespit etmek amacıyla gerçekleştirilir.
- Sosyal Mühendislik Testleri: Sosyal mühendislik testleri, kurum çalışanlarının bilgi güvenliği farkındalığını tespit etmek amacıyla gerçekleştirilir. Sosyal mühendislik testleri ile kurum çalışanlarına yönelik oltalama saldırıları gerçekleştirilir. Bu saldırı sonucunda kurum çalışanları üzerinden kurumun yerel ağına erişim elde edilmeye çalışılır.
- Bulut Güvenlik Testleri: Bulut sistemlere yönelik gerçekleştirilen güvenlik testleri ile hassas bilgilerin yer aldığı bulut sistemlerin verileri tehlikeye atabilecek güvenlik zafiyetleri içerip içermediği ve güvenlik kontrollerinin doğru bir şekilde uygulanıp uygulanmadığı test edilir.
- Konteyner Güvenlik Testleri: Konteyner güvenlik testleri, kuruma ait konteyner sistemleri etkileyen güvenlik zafiyetlerinin tespit edilmesi amacıyla gerçekleştirilir.
- Kaynak Kod Analizi: Kuruma ait uygulamaların kaynak kodları incelenerek, bu uygulamaları etkileyen güvenlik zafiyetleri tespit edilmeye çalışılır.
- VOIP Güvenlik Testleri: VOIP sistemlere yönelik güvenlik testleri, bir VOIP sistemi üzerinden yapılabilecek sahtekarlıkların ve VOIP sistemleri etkileyen güvenlik açıklarının tespit edilmesi amacıyla gerçekleştirilir.
Kurumunuza özel sızma testleri hizmetimiz ve fiyat teklifi için info@priviasecurity.com adresimiz ile iletişime geçebilir veya IT Sızma Testi Hizmeti sayfamıza göz atarak başvuru yapabilirsiniz. Privia Security olarak kurum ağınızı korumak için alanında uzman ekibimiz ile her zaman yanınızdayız.