teknopolis.net
  • ANA SAYFA
  • Eğitim
    • Bilim
  • Donanım
  • İnternet
  • Sosyal Medya
  • Kripto Para
  • Teknoloji
    • Mobil
    • Oyun
    • Yazılım
    • Uygulama
    • Giyilebilir Teknoloji
    • Yapay Zeka
    • Akıllı telefon
  • Otomobil
  • Sektörel
  • Rehber
Sonuç yok
Tüm Sonucu Görüntüle
TeknoPolis.NET
Sonuç yok
Tüm Sonucu Görüntüle
Ana Sayfa Yazılım

Sızma (Penetrasyon) Testi Yaptırmak Zorunlu Mudur?

Sızma (Penetrasyon) Testi Yaptırmak Zorunlu Mudur?

Tarafından Umut Yaşar
24 Nisan 2023
Kategori: Yazılım
0
24
Paylaş
143
Görüntülenme
Facebook'da PaylaşTwitter'da Paylaş

Sızma – Penetrasyon testi, kötü niyetli bir saldırganın bakış açısından hedeflenen sistemlere ve verilere yetkisiz erişim elde etmeye çalışan bir saldırı simülasyonudur. Penetrasyon – sızma testi, dışarıdan gelebilecek olası saldırıları öngörmek ve önlem almak için yapılmalıdır.

Sızma (Penetrasyon) Testi Alanında uzman kişiler tarafından, saldırganın elinde bulunan araç ve yöntemler kullanılarak kuruluşların BT altyapısının tüm sistemlerine sızması ve sonuçların raporlanmasıdır.

Neler Okuyacaksınız?

  • Sızma Testi Süreçleri Nasıl Yürütülür?
  • Sızma Testinin Adımları Nelerdir?
  • 1. Kapsam tanımı
  • Bilgi toplama
  • Güvenlik açığı tespiti
  • Bilgilerin analizi ve planlama
  • Sömürü aşaması
  • Yetki yükseltme/sömürü sonrası aşama
  • Temizleme
  • Rapor
  • Penetrasyon Testi Bize Ne Sağlar?
  • Yasal Düzenlemelerde Sızma Testi Gerekliliği

Sızma Testi Süreçleri Nasıl Yürütülür?

Test edilecek hedef sistemler müşteri tarafından tanımlanır ve test edilecek sistemler hakkında test organizasyonuna bilgi verilir. Gerekli sözleşmeler imzalandıktan sonra, farklı IP adreslerinden gelen saldırıların deneysel olup olmadığının anlaşılabilmesi için test sitesinin IP adresi müşterinin onayı ile müşteri ile paylaşılacaktır. Test başlatılır, kritik sonuçlar test sırasında müşterilerle paylaşılır, test sonu ve test sonunda kritik sonuçlarla düşük seviyeli bulgular/zafiyetler raporlanır.

Sızma Testinin Adımları Nelerdir?

1. Kapsam tanımı

Müşteri, test etmek istediği hedefi/kapsamı tanımlar. Test yaklaşımının türüne göre (Kara Kutu, Beyaz Kutu, Gri Kutu) testi yapacak firma ile bilgi paylaşılır.

  1. Bilgi toplama

Pasif (sistemle doğrudan etkileşimde olmayan) ve aktif (sistemle doğrudan etkileşimde olmayan) kapsam/hedef üzerinde bilgi toplama işlemi gerçekleştirilir. Bunlar; Kullanılan teknoloji, uygulama ve sürüm bilgileri, fonksiyonlar gibi bilgiler örnek olarak verilebilir.

  1. Güvenlik açığı tespiti

Bu, toplanan bilgilere göre mevcut güvenlik açıklarının belirlendiği aşamadır. Sistemler, analiz sonrasında / sırasında uzmanlar tarafından manuel olarak kontrol edilen otomatik araçlar kullanılarak analiz edilir. Tarama aşamasında keşfedilen hizmet ve sürüm bilgileri araştırılacak ve mevcut güvenlik açıkları için kontrol edilecektir.

  1. Bilgilerin analizi ve planlama

Belirlenen güvenlik açıklarından yararlanmak için gerekli araştırmalar yapılmış, exploit kodu, malware gibi saldırı araçları hazırlanmıştır.

  1. Sömürü aşaması

Keşfedilen güvenlik açıklarından olumlu bir görünüm ve güvenlik açığının test edilen sistem üzerindeki etkileri ile yararlanılmaya çalışılır. Bir saldırgan sisteme yetkisiz erişim sağlayabilir mi? Hizmeti durdurabilir mi? Bu soruların cevapları aranmaktadır.

  1. Yetki yükseltme/sömürü sonrası aşama

Saldırgan sisteme erişim sağladıktan sonra mevcut ayrıcalıklarını yükseltebilir mi? Yetkisiz dosyaları görüntüleyebilecek mi? Veya güvenliği ihlal edilmiş sistem(ler)i kullanmaya nasıl devam edilebilir? Hangi önemli dosyalara erişilebilir? Bu soruların cevapları aranmaktadır. Bir saldırganın, istismarın simülasyonu denendikten sonra yapacağı teknikler/taktikler/prosedürler.

  1. Temizleme

Test edilen sistemde yapılan değişiklikler geri alınacaktır. Test için oluşturulan/indirilen dosyalar sistemden silinecektir.

  1. Rapor

Yukarıdaki adımlar özetlenmiştir. Gelecekte ortaya çıkabilecek mevcut veya potansiyel riskler ve alınması gereken önlemler gibi bilgiler raporlanır.

Penetrasyon Testi Bize Ne Sağlar?

Çok değil 15 yıl önce bilgi güvenliğinin önemi anlaşılmıyordu ama bugün görüyoruz ki önleyici tedbirler için çok büyük bir pazar var. Özellikle ülkemizde 7 Nisan 2018 tarihinde uygulanmaya başlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte birçok yönden değişikliklerin olacağı görülmektedir. Pandemi ve diğer faktörler de birçok yönden siber güvenlik risklerini ortaya çıkardı. 

Yasal Düzenlemelerde Sızma Testi Gerekliliği

Koşmaya başlamadan önce yürümeyi öğrenmelisiniz. Bir sızma testi yapmayı düşünmeden önce, bir sızma testi yapmanın neden gerekli olduğunu anlamanız gerekir. Bir kuruluşun genel bilgi güvenliğindeki olgunluğunun net bir görüşüne ek olarak, iş ihtiyaçlarının ve risklerinin kapsamlı bir şekilde anlaşılması gerekir. Bu görüşlere dayanarak sızma testi yapılabilir. Sızma testinin iş hedeflerine ulaşmak için doğru araç olup olmadığını ve kuruluşun bu sızma testinin sonuçlarından yararlanmaya istekli olup olmadığını değerlendirmek gerekir.

Her projede olduğu gibi, kuruluşların projeden en iyi şekilde yararlanmalarını sağlamak için belirli ön koşullar vardır. Penetrasyon testi bir istisna değildir. Birçok kuruluş, sızma testinin amacının teknik kusurları tespit etmek ve düzeltmek olduğuna inanmaktadır. Ancak, tanımlanan güvenlik açıklarını düzeltmek, bir kuruluşu daha güvenli hale getirmez. Aslında, bir sızma testi genellikle kapsam, zaman, bütçe ve yaklaşım açısından sınırlıdır ve sızma testi sürecinde mevcut olan güvenlik açıklarını yansıtır.

Kuruluşlar, risk iştahlarına ve tehdit aktörlerine göre uyarlanmış temel bir güvenlik düzeyine sahip olmalıdır. İlk olarak, bu derece, organizasyonun saldırdığı sistemlerin dinamikleri ve stresiyle başa çıkmak için gereklidir. İkincisi, penetrasyon testi ile tüm iş riski etkilerini, birikme risklerini, temel nedenleri ve öğrenilen dersleri anlamak gerekir.

Etiket: Penetrasyon testiSızmaSızma TestiSızma Testinin Adımları Nelerdir
Paylaşım10Tweet6Gönder
Önceki yazı

Laravel Nedir?

Sonraki Gönderi

Tiktok Ads Nedir? Nasıl Kullanılır?

Umut Yaşar

Umut Yaşar

Hobi olarak bu işi yapan, biraz aykırı bi' kişilik.

İlişkiliGönderiler

Yazılım

Web Güvenliği İçin Temel İpuçları: Web Sitelerinizin Korunmasına Yardımcı Olacak 5 Adım

Tarafından admin admin
10 Temmuz 2023
Yazılım

Kullanıcı dostu açılış sayfası nasıl olmalıdır?

Tarafından admin admin
22 Haziran 2023
Yazılım

Enumeration Nedir

Tarafından admin admin
15 Haziran 2023
Yazılım

Arka Kapı Oluşturmak Nedir?

Tarafından admin admin
17 Mayıs 2023
Yazılım

Ubuntu Nedir?

Tarafından admin admin
15 Mayıs 2023
Sonraki Gönderi

Tiktok Ads Nedir? Nasıl Kullanılır?

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Plugin Install : Widget Tab Post needs JNews - View Counter to be installed
  • Trend
  • Yorumlar
  • En son

PSD Dosyası Nedir? .PSD Uzantılı Dosya Nasıl Açılır?

26 Nisan 2023

Netflix benzeri ücretsiz film izleme sitesi

8 Ekim 2019

VALORANT’ın bilgisayarınızı yeniden başlatması gerekiyor (çözüm)

24 Nisan 2023
Popmundo ile maceraya hazır mısın?

Popmundo ile maceraya hazır mısın?

3

Gerçek Bir Köpek Gibi Davranan Dört Bacaklı Robot: Astro

1

iPhone, AirDrop Özelliği Nasıl Daha Güvenli Hâle Gelir?

1

SEO Uyumlu İçeriklerle Dijital Pazarlama Performansınızı Artırın

20 Temmuz 2023

Google Ads Dönüşümleri Artırma Taktikleri: İşletmeniz İçin En İyi Yöntemler

19 Temmuz 2023

Sosyal Medya ve İçerik Üretimi: Yaratıcı Olmanın İpuçları

18 Temmuz 2023

İlginizi Çekebilir

UTM Builder Nedir? UTM Neden Kullanılır?

Tarafından Umut Bolat
21 Ağustos 2021
0
UTM Builder Nedir? UTM Neden Kullanılır?
Sosyal Medya

UTM Builder, bir pazarlama stratejisinde hedef kitleyi tanıtan verilerin toplanmasını sağlayan araçlar olarak ifade edilmektedir. Urchin Tracking Mode, UTM’nin açılımıdır....

Devamını oku

Riot Games Dövüş Oyunu Tom Cannon Tarafından Doğrulandı

Tarafından Umut Bolat
3 Ağustos 2019
0
Oyun

Riot Games şirketi yeni bir dövüş oyunu üzerinde çalışmaya başladı. Geniş bir kitleye hitap etmeyi düşleyen şirket çok yakında geliştirmeye...

Devamını oku
TeknoPolis.NET

Copyright © 2021 Teknopolis

  • Hakkımızda
  • Gizlilik politikası
  • Künye
  • İletişim

Sonuç yok
Tüm Sonucu Görüntüle
  • Home

Copyright © 2021 Teknopolis