Pentest (Sızma Testi) Nedir?
Kurum ve şirketlerin sistem ve ağlarına karşı düzenlenebilecek olası bir saldırının önüne geçmek için bu saldırıların uzmanlar tarafından simülasyonunun yapılarak saldırıdan önce güvenlik açıklarının ve eksikliklerinin tespitini yapmak için uyguladıkları teste pentest adı verilmektedir. Pentest ve diğer bilişim güvenliği hizmetleri için web sitesini ziyaret edebilirsiniz.
Pentest’in Adımları
Pentest uygulanırken izlenmesi gereken adımlar ve belirlenmiş bir yol haritası bulunmaktadır. Bu adımlar takip edilerek ve yol haritasına uyarak sağlıklı ve doğru bir pentest gerçekleştirmek mümkün olacaktır. Bu adımları şu şekilde sıralayabiliriz;
- Kapsam Belirleme: Bu adım sayesinde testin kapsamı penetrasyon testini yapacak olan firma ile kurum arasında hazırlanan anlaşmaya göre planlanmaktadır.
- Bilgi Toplama: Bu aşamada hedef hakkında bilgi ve veri toplanmaktadır. Yani pentest uzmanları hedef sistemlerin hakkında ellerinden geldiğince bilgi toplamaya çalışmaktadırlar.
- Zafiyet Taraması: Bilgi güvenliğinin sağlanması ve korunması için olası risklerin en etkili şekilde tespitinin yapılması ve bu riskler üzerinde oluşabilecek güvenlik zafiyetlerinin tespit edilmesi oldukça önemlidir. Yani zafiyet taraması sistem üzerindeki açıkları tespit etme adımıdır.
- İstismar Etme: Bu adımda hedeflenen ise pentest öncesinde elde ettiğimiz bilgiler ve bulunan açıklar kullanılarak sistem üzerinde bir yetki elde etmeye uğraşmaktır.
- Yetki Yükseltme: Bu aşamada hedeflenen nokta ele geçirilen sistem üzerinde elde edilen kullanıcıdan daha da yetkili üst bir kullanıcı hesabını ele geçirmek olacaktır. Hedef sistem üzerindeki çalışan uygulamalar, kullanıcı parolalarının özetlerinin tespiti gibi pek çok yöntem kullanılmaktadır.
- Diğer Ağlara Sızıntı: Bu adımda ise bir kullanıcıya erişim sağlandıktan sonra ağ üzerinde bulunan diğer kullanıcıların da hesapları ele geçirilmeye çalışılır.
- Raporlama: Pentestin en önemli aşamasıdır ve bulunan açıklar ve çözüm önerileri açık bir şekilde belirlenir.