Sızma testi (pentest olarak da bilinir), BT sistemlerinizdeki veya uygulamalarınızdaki güvenlik açıklarını belirlemek için gerçek dünyadaki saldırganların etkinliklerini simüle eden bir güvenlik değerlendirmesidir.
Testin amacı, hangi güvenlik açıklarına sahip olduğunuzu, bunlardan nasıl yararlanılabileceğini ve bir saldırganın başarılı olması durumunda etkisinin ne olacağını anlamaktır.
Genellikle önce gerçekleştirilen bir harici pentest (harici ağ sızma testi olarak da bilinir), çevre sistemlerinizin bir değerlendirmesidir. Çevreniz, internetten doğrudan ulaşılabilen tüm sistemlerdir. Tanım olarak, açığa çıkarlar ve bu nedenle en kolay ve düzenli olarak saldırıya uğrarlar.
Zayıflıklar için test
Harici pentestler, hassas bilgilere erişmek ve bir saldırganın müşterilerinizi, müşterilerinizi veya kullanıcılarınızı nasıl hedefleyebileceğini görmek için bu harici, erişilebilir sistem ve hizmetlerin güvenliğini aşmanın yollarını arar.
Yüksek kaliteli bir harici pentestte, güvenlik uzmanları, sistemlerinizin kontrolünü ele geçirmeye çalışmak için açıklardan yararlanma gibi gerçek bilgisayar korsanlarının faaliyetlerini kopyalayacaktır. Ayrıca, kötü niyetli bir saldırganın ağınıza ne kadar girebileceğini ve başarılı bir saldırının iş üzerindeki etkisinin ne olacağını görmek için buldukları herhangi bir zayıflığın boyutunu test edecekler.
Önce harici penttestleri çalıştırın
Harici sızma testi, saldırganın sistemlerinize veya ağlarınıza önceden erişimi olmadığını varsayar. Bu, bir saldırganın güvenliği ihlal edilmiş bir makinede zaten bir dayanağı olduğu veya fiziksel olarak binada olduğu senaryoyu test eden dahili sızma testinden farklıdır. Genellikle, önce temelleri ele almak ve hem normal güvenlik açığı taraması hem de harici sızma testi yapıldıktan sonra dahili testleri düşünmek mantıklıdır.
Harici sızma testi nasıl yapılır
Peki harici bir penetrasyon testi yaptırmaya nasıl gideceksiniz? Harici bir pentest planlamak, yönetilen hizmet sağlayıcınıza veya BT danışmanınıza sormak ve onları çevre sistemlerinize (bir etki alanı ve IP adresi/aralığı listesi) yönlendirmek kadar basit olmalıdır.
Harici kalem testi normalde “Kara Kutu” bazında çalıştırılır, bu da test kullanıcılarına hiçbir ayrıcalıklı bilginin (uygulama kimlik bilgileri, altyapı şemaları veya kaynak kodu gibi) sağlanmadığı anlamına gelir. Bu, IP’lerinizin ve etki alanlarınızın bir listesini keşfettikten sonra, kuruluşunuzu hedefleyen gerçek bir bilgisayar korsanının nereden başlayacağına benzer.
Ancak harici sızma testinizi düzenlerken göz önünde bulundurmanız gereken birkaç önemli nokta ve durum tespiti vardır:
- Testinizi kim yapıyor? Nitelikli bir penetrasyon test cihazı mı? Bir sızma testi şirketinin nasıl seçileceğine ilişkin kılavuzda, sızma testi sertifikaları ve danışmanlık seçimi hakkında daha fazla bilgi edinebilirsiniz.
- Ne kadar ücretlendirileceksiniz? Teklifler normalde bir günlük ücrete dayalıdır ve işinizin kapsamı, değerlendirmeyi yapmak için gereken gün sayısına göre belirlenir. Bunların her biri şirketler arasında farklılık gösterebilir, bu nedenle teklif edilenleri görmek için alışveriş yapmaya değer olabilir.
- Ne dahildir? Saygın hizmet sağlayıcılar, size yapılacak işi özetleyen bir teklif veya çalışma beyanı sunmalıdır. Neyin içeride ve neyin kapsam dışında olduğuna dikkat edin.
- Başka ne önerilir? Açıkta kalan hizmetlerinizi, ihlal edilen kimlik bilgilerinin yeniden kullanımı, parola püskürtme saldırıları ve genel olarak erişilebilir uygulamalarda web uygulaması testi için kontrol etmeyi içeren bir sağlayıcı seçin.
- Sosyal mühendisliği dahil etmeli misiniz? İyi bir katma değer olabilir, ancak bu tür testler, yeterli kararlılığa sahip bir saldırgan tarafından denendiğinde neredeyse her zaman başarılı olur, bu nedenle bütçeniz sınırlıysa zor bir gereklilik olmamalıdır.
Dış sızma testi ve güvenlik açığı taraması
Güvenlik açığı taramasına aşina iseniz, harici bir pentestin bazı benzerlikleri paylaştığını fark edeceksiniz. Fark nedir?
Tipik olarak, bir harici sızma testi, tam bir harici güvenlik açığı taraması içerir, ancak tam da başladığı yer burasıdır. Tarama araçlarından elde edilen tüm çıktılar, yanlış pozitifleri ortadan kaldırmak, zayıflığın kapsamını/etkisini doğrulamak için istismarlar çalıştırmak ve daha etkili istismarlar üretmek için birden fazla zayıflığı “birlikte zincirlemek” için bir pentester tarafından manuel olarak araştırılacaktır.
Bir güvenlik açığı tarayıcısının bir hizmetin kritik bir zayıflığı olduğunu bildirdiği yerde, bir pentest bu zayıflıktan yararlanmaya ve sistemin kontrolünü ele geçirmeye çalışır. Başarılı olursa, pentester daha ileri gitmek ve daha fazla sistem ve hizmetten ödün vermek için erişimlerini kullanacak.
Pentestler güvenlik açıklarını derinlemesine inceliyor
Güvenlik açığı tarayıcıları genellikle olası sorunları tespit ederken, bir penetrasyon test cihazı bunları tam olarak araştırır ve zayıflığın dikkat edilmesi gerekip gerekmediği konusunda rapor verir. Örneğin, güvenlik açığı tarayıcıları, web sunucularının sunucudaki tüm dosya ve klasörlerin bir listesini sunduğu ‘Dizin Listeleme’ hakkında rutin olarak rapor verir. Bu mutlaka kendi başına bir güvenlik açığı değildir, ancak araştırılması gerekir.
Hassas bir dosya (kimlik bilgilerini içeren bir yedekleme yapılandırma dosyası gibi) açığa çıkarsa ve dizin listesine göre listelenirse, basit bir bilgi sorunu (bir güvenlik açığı tarayıcısı tarafından bildirildiği gibi) hızlı bir şekilde kuruluşunuz için yüksek etki riskine dönüştürülebilir. Pentester’ın işi, çevrilmemiş taş kalmadığından emin olmak için bir dizi aletten elde edilen çıktının dikkatlice gözden geçirilmesini içerir.
Ya daha sıkı testlere ihtiyacım olursa?
Gerçek bir saldırganın gerçekleştireceği ve güvenlik açığı tarayıcıları tarafından gerçekleştirilmeyen bazı diğer faaliyetler de dahil edilebilir, ancak bunlar test ediciler arasında farklılık gösterir. Bunların kapsam dahilinde olmasını istiyorsanız, teklifi kontrol edin veya pentesti planlamadan önce sorular sorun. Örneğin:
- Açıkta kalan VPN’lerde ve diğer hizmetlerde kullanıcı hesaplarının güvenliğini aşmaya çalışmak için sürekli parola tahmin saldırıları (püskürtme, kaba kuvvet)
- Çalışanlarınızın bilinen ihlal edilmiş kimlik bilgileri için karanlık ağ ve ihlal veritabanlarını kazıma ve bunları yönetim panellerine ve hizmetlere doldurma
- Kendi kendine kayıt mekanizmasının mevcut olduğu web uygulaması testi
- Çalışanlarınızı phishing gibi sosyal mühendislik saldırıları
Pentestler normal güvenlik açığı testinin yerini alamaz
Her gün yeni kritik güvenlik açıklarının keşfedildiğini ve saldırganların genellikle en ciddi zayıflıklardan, keşfedilmelerinden sonraki bir hafta içinde yararlandığını unutmayın.
Harici bir sızma testi, açıkta kalan sistemlerinizin güvenliğini derinlemesine incelemek için önemli bir değerlendirme olsa da, en iyi şekilde, zaten uygulamanız gereken düzenli güvenlik açığı taramasını tamamlamak için ek bir hizmet olarak kullanılır!
Davetsiz Misafir Hakkında
Intruder, sürekli güvenlik açığı taraması ve sızma testi hizmetleri sağlayarak kuruluşların saldırı yüzeylerini azaltmalarına yardımcı olan bir siber güvenlik şirketidir. Intruder’ın güçlü tarayıcısı, yüksek etkili kusurları, saldırı yüzeyindeki değişiklikleri anında tespit etmek ve ortaya çıkan tehditler için altyapıyı hızla taramak için tasarlanmıştır. Yanlış yapılandırmaları, eksik yamaları ve web katmanı sorunlarını belirlemeyi içeren binlerce denetimi çalıştıran Intruder, kurumsal düzeyde güvenlik açığı taramasını herkes için kolay ve erişilebilir hale getirir. Hırsızların yüksek kaliteli raporları, potansiyel müşterilere iletmek veya ISO 27001 ve SOC 2 gibi güvenlik yönetmeliklerine uymak için mükemmeldir.
Intruder, güvenlik açığı değerlendirme platformunun 30 günlük ücretsiz deneme sürümünü sunar. Bir tur atmak için bugün web sitelerini ziyaret edin!