teknopolis.net
  • ANA SAYFA
  • Eğitim
    • Bilim
  • Donanım
  • İnternet
  • Sosyal Medya
  • Kripto Para
  • Teknoloji
    • Mobil
    • Oyun
    • Yazılım
    • Uygulama
    • Giyilebilir Teknoloji
    • Yapay Zeka
    • Akıllı telefon
  • Otomobil
  • Sektörel
  • Rehber
Sonuç yok
Tüm Sonucu Görüntüle
TeknoPolis.NET
Sonuç yok
Tüm Sonucu Görüntüle
Ana Sayfa Yazılım

Sızma (Penetrasyon) Testi Yaptırmak Zorunlu Mudur?

Sızma (Penetrasyon) Testi Yaptırmak Zorunlu Mudur?

Tarafından Umut Yaşar
31 Ağustos 2022
Kategori: Yazılım
0
24
Paylaş
142
Görüntülenme
Facebook'da PaylaşTwitter'da Paylaş

Sızma – Penetrasyon testi, kötü niyetli bir saldırganın bakış açısından hedeflenen sistemlere ve verilere yetkisiz erişim elde etmeye çalışan bir saldırı simülasyonudur. Penetrasyon – sızma testi, dışarıdan gelebilecek olası saldırıları öngörmek ve önlem almak için yapılmalıdır.

Sızma (Penetrasyon) Testi Alanında uzman kişiler tarafından, saldırganın elinde bulunan araç ve yöntemler kullanılarak kuruluşların BT altyapısının tüm sistemlerine sızması ve sonuçların raporlanmasıdır.

Neler Okuyacaksınız?

  • Sızma Testi Süreçleri Nasıl Yürütülür?
  • Sızma Testinin Adımları Nelerdir?
  • 1. Kapsam tanımı
  • Bilgi toplama
  • Güvenlik açığı tespiti
  • Bilgilerin analizi ve planlama
  • Sömürü aşaması
  • Yetki yükseltme/sömürü sonrası aşama
  • Temizleme
  • Rapor
  • Penetrasyon Testi Bize Ne Sağlar?
  • Yasal Düzenlemelerde Sızma Testi Gerekliliği

Sızma Testi Süreçleri Nasıl Yürütülür?

Test edilecek hedef sistemler müşteri tarafından tanımlanır ve test edilecek sistemler hakkında test organizasyonuna bilgi verilir. Gerekli sözleşmeler imzalandıktan sonra, farklı IP adreslerinden gelen saldırıların deneysel olup olmadığının anlaşılabilmesi için test sitesinin IP adresi müşterinin onayı ile müşteri ile paylaşılacaktır. Test başlatılır, kritik sonuçlar test sırasında müşterilerle paylaşılır, test sonu ve test sonunda kritik sonuçlarla düşük seviyeli bulgular/zafiyetler raporlanır.

Sızma Testinin Adımları Nelerdir?

1. Kapsam tanımı

Müşteri, test etmek istediği hedefi/kapsamı tanımlar. Test yaklaşımının türüne göre (Kara Kutu, Beyaz Kutu, Gri Kutu) testi yapacak firma ile bilgi paylaşılır.

  1. Bilgi toplama

Pasif (sistemle doğrudan etkileşimde olmayan) ve aktif (sistemle doğrudan etkileşimde olmayan) kapsam/hedef üzerinde bilgi toplama işlemi gerçekleştirilir. Bunlar; Kullanılan teknoloji, uygulama ve sürüm bilgileri, fonksiyonlar gibi bilgiler örnek olarak verilebilir.

  1. Güvenlik açığı tespiti

Bu, toplanan bilgilere göre mevcut güvenlik açıklarının belirlendiği aşamadır. Sistemler, analiz sonrasında / sırasında uzmanlar tarafından manuel olarak kontrol edilen otomatik araçlar kullanılarak analiz edilir. Tarama aşamasında keşfedilen hizmet ve sürüm bilgileri araştırılacak ve mevcut güvenlik açıkları için kontrol edilecektir.

  1. Bilgilerin analizi ve planlama

Belirlenen güvenlik açıklarından yararlanmak için gerekli araştırmalar yapılmış, exploit kodu, malware gibi saldırı araçları hazırlanmıştır.

  1. Sömürü aşaması

Keşfedilen güvenlik açıklarından olumlu bir görünüm ve güvenlik açığının test edilen sistem üzerindeki etkileri ile yararlanılmaya çalışılır. Bir saldırgan sisteme yetkisiz erişim sağlayabilir mi? Hizmeti durdurabilir mi? Bu soruların cevapları aranmaktadır.

  1. Yetki yükseltme/sömürü sonrası aşama

Saldırgan sisteme erişim sağladıktan sonra mevcut ayrıcalıklarını yükseltebilir mi? Yetkisiz dosyaları görüntüleyebilecek mi? Veya güvenliği ihlal edilmiş sistem(ler)i kullanmaya nasıl devam edilebilir? Hangi önemli dosyalara erişilebilir? Bu soruların cevapları aranmaktadır. Bir saldırganın, istismarın simülasyonu denendikten sonra yapacağı teknikler/taktikler/prosedürler.

  1. Temizleme

Test edilen sistemde yapılan değişiklikler geri alınacaktır. Test için oluşturulan/indirilen dosyalar sistemden silinecektir.

  1. Rapor

Yukarıdaki adımlar özetlenmiştir. Gelecekte ortaya çıkabilecek mevcut veya potansiyel riskler ve alınması gereken önlemler gibi bilgiler raporlanır.

Penetrasyon Testi Bize Ne Sağlar?

Çok değil 15 yıl önce bilgi güvenliğinin önemi anlaşılmıyordu ama bugün görüyoruz ki önleyici tedbirler için çok büyük bir pazar var. Özellikle ülkemizde 7 Nisan 2018 tarihinde uygulanmaya başlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte birçok yönden değişikliklerin olacağı görülmektedir. Pandemi ve diğer faktörler de birçok yönden siber güvenlik risklerini ortaya çıkardı. 

Yasal Düzenlemelerde Sızma Testi Gerekliliği

Koşmaya başlamadan önce yürümeyi öğrenmelisiniz. Bir sızma testi yapmayı düşünmeden önce, bir sızma testi yapmanın neden gerekli olduğunu anlamanız gerekir. Bir kuruluşun genel bilgi güvenliğindeki olgunluğunun net bir görüşüne ek olarak, iş ihtiyaçlarının ve risklerinin kapsamlı bir şekilde anlaşılması gerekir. Bu görüşlere dayanarak sızma testi yapılabilir. Sızma testinin iş hedeflerine ulaşmak için doğru araç olup olmadığını ve kuruluşun bu sızma testinin sonuçlarından yararlanmaya istekli olup olmadığını değerlendirmek gerekir.

Her projede olduğu gibi, kuruluşların projeden en iyi şekilde yararlanmalarını sağlamak için belirli ön koşullar vardır. Penetrasyon testi bir istisna değildir. Birçok kuruluş, sızma testinin amacının teknik kusurları tespit etmek ve düzeltmek olduğuna inanmaktadır. Ancak, tanımlanan güvenlik açıklarını düzeltmek, bir kuruluşu daha güvenli hale getirmez. Aslında, bir sızma testi genellikle kapsam, zaman, bütçe ve yaklaşım açısından sınırlıdır ve sızma testi sürecinde mevcut olan güvenlik açıklarını yansıtır.

Kuruluşlar, risk iştahlarına ve tehdit aktörlerine göre uyarlanmış temel bir güvenlik düzeyine sahip olmalıdır. İlk olarak, bu derece, organizasyonun saldırdığı sistemlerin dinamikleri ve stresiyle başa çıkmak için gereklidir. İkincisi, penetrasyon testi ile tüm iş riski etkilerini, birikme risklerini, temel nedenleri ve öğrenilen dersleri anlamak gerekir.

Etiket: Penetrasyon testiSızmaSızma TestiSızma Testinin Adımları Nelerdir
Paylaşım10Tweet6Gönder
Önceki yazı

Laravel Nedir?

Sonraki Gönderi

Tiktok Ads Nedir? Nasıl Kullanılır?

Umut Yaşar

Umut Yaşar

Hobi olarak bu işi yapan, biraz aykırı bi' kişilik.

İlişkiliGönderiler

Yazılım

Matlab Nedir?

Tarafından admin admin
30 Ocak 2023
Donanım

Pnömatik Devre Nedir?

Tarafından Umut Yaşar
9 Ocak 2023
Uygulama

Shellcode Nasıl Hazırlanır?

Tarafından Umut Yaşar
24 Aralık 2022
Sosyal Medya

Monitoring Nasıl Yapılır?

Tarafından Umut Yaşar
23 Aralık 2022
Yazılım

Tableau ile Veri Analizi Nasıl Yapılır?

Tarafından Umut Yaşar
16 Aralık 2022
Sonraki Gönderi

Tiktok Ads Nedir? Nasıl Kullanılır?

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

  • Trend
  • Yorumlar
  • En son
PSD Uzantılı Dosya Nasıl Açılır

PSD Dosyası Nedir? .PSD Uzantılı Dosya Nasıl Açılır?

7 Ekim 2019

Netflix benzeri ücretsiz film izleme sitesi

8 Ekim 2019
Opera VPN İnceleme

Opera VPN İnceleme: Opera VPN Güvenli Mi?

13 Ekim 2019
Popmundo ile maceraya hazır mısın?

Popmundo ile maceraya hazır mısın?

3

Gerçek Bir Köpek Gibi Davranan Dört Bacaklı Robot: Astro

1
Chrome ödeme yöntemleri için yenilik getiriliyor!

Chrome ödeme yöntemleri için yenilik getiriliyor!

1

Değer Odaklı Satış

7 Şubat 2023

Toleranslandırma Nedir

6 Şubat 2023

Kalp Masajı ve Suni Solunum Nasıl Yapılır

4 Şubat 2023

İlginizi Çekebilir

Siri Uygulaması Yüzünden 300 Kişinin İşine Son Verildi

Tarafından Umut Yaşar
7 Eylül 2019
0
Akıllı telefon

The Guardian tarafından 26 Temmuz 2019 tarihinde yazıya dökülen bir demeçte, Apple şirketinin bazı çalışanları siri uygulaması aracılığı ile gizlice...

Devamını oku

Yeni Diziye Soyunan Apple, Kesenin Ağzını Açtı

Tarafından Umut Bolat
14 Temmuz 2019
0
Sinema

Kısa bir süre önce Apple firması, Apple TV+ servisine yönelik orijinal ve özgün içerikler için çalışmalar ve yatırımlar yürütüyor. Şuan...

Devamını oku
TeknoPolis.NET

Copyright © 2021 Teknopolis

  • Hakkımızda
  • Gizlilik politikası
  • Künye
  • İletişim

Sonuç yok
Tüm Sonucu Görüntüle
  • Home

Copyright © 2021 Teknopolis