Penetrasyon testi (veya pen test), bir siber güvenlik uzmanının bir bilgisayar sistemindeki zayıflıkları bulmaya ve kullanmaya çalıştığı bir güvenlik egzersizidir. Bu simülasyon saldırısının amacı, saldırganların faydalanabileceği herhangi bir zayıf noktayı belirlemektir.
Bu, bir bankanın bir hırsız gibi giyinmiş birini işe alıp binasına girip kasaya erişmeye çalışması gibi bir şeydir. ‘Hırsız’ başarılı olursa ve bankaya veya kasanın içine girerse, banka güvenlik önlemlerini nasıl sıkılaştırmaları gerektiği konusunda değerli bilgiler elde eder.
Kim penetrasyon testi yapar?
Sistemin nasıl güvence altına alındığı hakkında az veya hiç bilgisi olmayan biri tarafından pen testi yapılması en iyisidir, çünkü sistem geliştiren geliştiriciler tarafından gözden kaçırılan kör noktaları ortaya çıkarabilirler. Bu nedenle, genellikle dış yükleniciler testleri gerçekleştirmek üzere getirilir. Bu yükleniciler genellikle ‘etik hackerlar’ olarak adlandırılır çünkü izinsiz olarak bir sisteme sızmak için işe alınırlar ve güvenliği artırmak amacıyla.
Birçok etik hacker, ileri derecede dereceler ve bir penetrasyon testi için sertifika sahibi deneyimli geliştiricilerdir. Öte yandan, en iyi etik hackerların bazıları kendi kendine yetişmiştir. Aslında, bazıları artık güvenlik açıklarını kullanmak yerine onları düzeltmeye yardımcı olmak için uzmanlıklarını kullanıyor olan reforme edilmiş suçlu hackerlardır. Bir penetrasyon testi gerçekleştirmek için en uygun aday, hedef şirkete ve başlatmak istedikleri penetrasyon testi türüne bağlı olarak büyük ölçüde değişebilir.
Penetrasyon testlerinin türleri nelerdir?
Açık kutu penetrasyon testi: Bir açık kutu testinde, hacker hedef şirketin güvenlik bilgileri hakkında önceden bazı bilgiler alır.
Kapalı kutu penetrasyon testi: Aynı zamanda ‘tek taraflı kör’ testi olarak da bilinen bu testte hacker, hedef şirketin adı dışında hiçbir arka plan bilgisi verilmez.
Gizli penetrasyon testi: Ayrıca ‘çift kör’ penetrasyon testi olarak da bilinen bu durumda, neredeyse hiç kimse şirkette penetrasyon testinin gerçekleştiğinden haberdar değildir, bu arada saldırıya yanıt verecek olan IT ve güvenlik profesyonelleri de dahil. Gizli testler için, hacker’ın yasal sorunlardan kaçınmak için testin kapsamı ve diğer detaylarını önceden yazılı olarak alması özellikle önemlidir.
Harici penetrasyon testi: Harici bir testte, etik hacker şirketin dışa dönük teknolojisiyle yani web sitesi ve harici ağ sunucularıyla karşı karşıya gelir. Bazı durumlarda, hacker’ın şirketin binasına bile girmesine izin verilmeyebilir. Bu, saldırıyı uzaktan bir yerden gerçekleştirmeyi veya testi yakınlarda park edilmiş bir kamyon veya van içinden gerçekleştirmeyi gerektirebilir.
Dahili penetrasyon testi: Dahili bir testte, etik hacker testi şirketin iç ağından gerçekleştirir. Bu tür bir test, şirketin güvenlik duvarının arkasında bir çalışanın ne kadar zarar verebileceğini belirlemek için yararlıdır.
Tipik bir penetrasyon testi nasıl gerçekleştirilir?
Penetrasyon testleri, etik bir hacker’ın zamanını kullanarak, taklit saldırılarını planlamak için kullanacakları veri ve bilgileri topladığı bir keşif aşamasıyla başlar. Bundan sonra, odak, hedef sistemde erişim elde etmek ve bu erişimi sürdürmektir, ki bu geniş bir araç seti gerektirir.
Saldırı için kullanılan araçlar, kaba kuvvet saldırıları veya SQL enjeksiyonları üretmek için tasarlanmış yazılımları içerir. Penetrasyon testi için özel olarak tasarlanmış donanımlar da bulunmaktadır, örneğin, hacker’a o ağı uzaktan erişim sağlamak için bir bilgisayara takılabilen küçük fark edilmeyen kutular gibi. Ayrıca, bir etik hacker zayıflıkları bulmak için sosyal mühendislik tekniklerini kullanabilir. Örneğin, şirket çalışanlarına kimlik avı e-postaları göndermek veya hatta kendilerini teslimat elemanları olarak kılık değiştirerek binaya fiziksel erişim sağlamak.
Hacker, testi izlerini kapatmak suretiyle tamamlar; bu, gömülü donanımları kaldırmayı ve keşfedilmekten kaçınmak için ellerinden gelen her şeyi yapmayı içerir ve hedef sistemi tam olarak buldukları gibi bırakmayı amaçlar.
Penetrasyon testinin ardından ne olur?
Bir penetrasyon testini tamamladıktan sonra, etik hacker bulgularını hedef şirketin güvenlik ekibiyle paylaşır. Bu bilgiler daha sonra test sırasında keşfedilen herhangi bir zayıflığı kapatmak için güvenlik güncellemeleri uygulamak için kullanılabilir. Bu güncellemeler, hız sınırlama, yeni WAF kuralları ve DDoS önleme gibi şeyleri içerebilir, ayrıca daha sıkı form doğrulamaları ve temizleme işlemleri de yapılabilir.