BG-TekPenetrasyon Testi (Pentest)

» Penetrasyon Testi

Pentest Nedir ?

Penetrasyon testi kötü amaçlı bir saldırganın içeriden yada dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur.

Penetrasyon Testi

Neden Penetrasyon Testi (Pentest)?

Şirketin güvenlik becerilerini üst düzeyde tutmak, Dışarıdan gelebilecek saldırıları görüp önlem almak, Sistemlerinize yapılan yatırımı güvende tutmak ve en önemlisi de güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için pentest (Penetrasyon Testleri) yapılmalıdır.

Pentest (Penetrasyon Testi) Türleri

   1-) BlackBox (Siyah Kutu); Siyah kutu testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan network e ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır.

   2-) WhiteBox (Beyaz Kutu); Beyaz kutu testi network teki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden network e girmeye ve zarar vermeye çalışmasının saldırı simülasyonu’dur.

   3-) GreyBox (Gri Kutu); Gri kutu testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türüdür.

Pentest (Penetrasyon Testi) Adımları

Dışarıdan Network’e Sızma Testleri
1. İnternete açık sistemlerin tespit edilmesi ve güvenlik açıklarının taranması.
2. Network de bulunan Güvenlik Duvarı, IDS, IPS, Yönlendirici (Router) vb.. cihazların test edilmesi
3. Uzaktan Network’ e Ulaşma Testleri
4. Fiziksel güvenlik testleri
   a. Sunucu Odası
   b. Çalışma alanları
   c. Network altyapısı
5. Sosyal mühendislik testleri
6. Kablosuz Network e sızma testleri
   a. Erişim noktalarının testleri
   b. Şifreleme türlerinin tespiti ve kırılma testleri
7. Dışarıya açık sistemlerin DOS saldırılarına karşı testleri
8. Web yazılımlarının testleri

Pentest (Penetrasyon Testi) Evreleri


Penetrasyon Test

İç Ağ Güvenlik Testleri

 1. 1. Aktif sistemlerin tespit edilmesi.
 2. 2. Network haritasının çıkartılması.
 3. 3. Networkte bulunan işletim sistemlerinin tespit edilmesi.
 4. 4. Tespit edilen sistem ve cihazların rolleri.
 5. 5. Aktif sistemler üzerindeki açık port ların tespit edilmesi.
 6. 6. Bulunan açık portlar da çalışan servislerin tespiti.
 7. 7. Açık portlar da bulunan servislerin zayıflıklara karşı test edilmesi.
 8. 8. IDS, IPS, Güvenlik duvarı, içerik filtreleme ve benzer güvenlik uygulamalarının test edilmesi.
 9. 9. Kurum güvenlik politikaları dâhilinde internet erişimlerinin güvenliğinin kontrolü.
 10. 10. Anti-Virüs ve Anti-Spam yazılımlarının kontrolü.
 11. 11. Network dinleme ve şifre güvenliği testleri.
 12. 12. Yetki yükseltme.

Standartlar

Bg-Tek Penetrasyon testleri bir çok güvenlik alanında standart olarak kabul edilmiş olan standart ve sertifikasyon programlarına uyumlu hazırlanmıştır.

CEH, LPT (Eccouncil) , CISSP (ISC2), CPT (IACRB), PCI, PTES,TIGERSCHEMA, OWASP, ISACA, OSSTMM, CREST

Penetrasyon Testi Raporlama

   Test Sırasında

Günlük olarak yapılan işlemlerin mesai bitiminde raporlanması.
Zayıflıklar ve Exploitler
Yetkisiz veriye ulaşılması, trafik anormallikleri

   Test Sonrasında

Yapılan güvenlik testleri sonucu bulunan zayıflıklar ve çözüm önerilerinin sunulması.
Güvenlik politikalarının belirlenmesi ve uygulanması konusunda önerileri içerir