Pentest Nedir? Ne İşe Yarar?

Eminin son zamanlarda, sosyal medyada veya ilgili haber sitelerinde filanca firma hacklendi, veya filanca kurum hacklendi haberlerini duymuşsunuzdur. Peki neden hackleniyor bu firmalar? Kendilerini korumalarının bir yolu varmı? Yoksa hacklenmeye mahkumlar mı? Pentest Nedir? İşte bu yazıda bunlardan bahsedeceğiz.

Pentest Nedir?

Derinlere inmeden önce, Pentest veya Penetrasyon Testi nin tanımını yapalım. Pentest, ilgili Siber Güvenlik Uzmanlarının anlaşılan firma veya kuruma, kötü niyetli bir Hacker gözüyle bakıp hackledikten sonra; nasıl hacklediğini, zafiyetlerinin neler olduğunu, açıkların nasıl kapatılacağı gibi bilgileri firmaya raporladığı bir ‘Sızma Testi’ dir.

Bunu bir örnek ile açıklayarak tanımın kafanızda daha iyi oturmasını istiyorum.

X firması, son zamanlarda doğru hamleler yaparak adını büyük bir kitleye duyurmuş, ünlenmiş ve büyümüştür. Birçok seveni olan X firmasının, seveni olduğu kadar sevmeyeni olduğunun da kendisi farkındadır. Ayrıca azılı rakiplerinin de farkındadır. Bundan dolayı hacklenme potansiyelinin çok fazla olduğunu bilir. Eğer böyle bir dönemde hacklenirse hem firmanın itibarı düşecek hem de ilerleyişine büyük zararlar gelecektir. Bundan dolayı bu firma hacklenmesine karşın önlem almalıdır. Peki nedir bu önlem? Nasıl alacaklardır? Tabii ki bir Pentest ekibi veya bu hizmeti veren bir firma ile görüşüp bir Pentest yaptıracaklardır. Bu sayede Pentester lar gerçek bir suçlu gibi sisteme sızıp zafiyetleri firma ya raporlayacaklardır. Firma da bu açıkları kapatarak riski en aza indirip kendini koruma altına almış olacaktır.

Pentset’in Önemi

Doğru ve düzenli aralıklarla Pentset yapmayan büyük-küçük her firma nın hacklenmesi çok kolay olacağı için, kötü niyetli hackerlar bu firmaları hedef alıp onları büyük zararlara uğratacaklardır. Riskin farkında olan firmalar mutlaka Bilgi İşlem, Siber Güvenlik departmanları bulundururlar. Ayrıca düzenli aralıklar ile Pentest hizmeti sağlayan kurumlardan hizmet satın alırlar. Bu şekilde hacklenme risklerini en aza indirmiş olurlar. Bakın, kendilerini tamamen koruyabilirler demiyorum, riski en aza indirebilirler diyorum. Çünkü ne kadar para harcarsanız harcayın, ne kadar eleman tutarsanız tutun, isterseniz haftada bir kere Pentest yaptırın, yine de hacklenme riskiniz vardır. Bu konu hakkında çok sevdiğim bir söz vardır, “Hiçbir sistem güvenli değildir.” Sonuçta bu Pentesti yapanlar, bu korunması gereken sistemleri oluşturanlar, insan. Ve insanların her zaman birşey leri gözden kaçırma veya yanlış yapma ihtimali vardır.

Peki diyelim ki bir firma Pentest yapmadı ve gereken önlemleri de almadı. Bu firmayı bekleyen senaryolar neler?

• Firmanın internet sitesi, telefon hatları gibi ulaşım ve iletişim kanalları DDOS ve benzeri saldırılar ile hacklenip firma çalışamaz duruma getirilebilir. Genelde bu saldırılarda, hackerler ilgili firma ile iletişime geçip eğer şu kadar zamanda şu kadar fidye ödemezler ise bunu yapacaklarını söylerler. Bu durum firmaları çok büyük zararlara uğratır.
• Firmanın admin sistemine sızılıp; firma hakkında kritik öneme sahip gizli bilgiler, müşterilerin kimse tarafından bilinmemesi gereken kredi kartı ve şahsi bilgileri gibi büyük öneme sahip data lar ele geçirilir. Bundan sonrası zaten kolaydır. Saldırganlar, diğer örneğimizde ki gibi firmadan fidye isteyebilir, bu kullanıcı bilgilerini kötüye kullanabilir veya internette herkese açık bir şekilde paylaşıp firmayı büyük itibar ve maddi kaynak zoruna sokabilirler.

Bu noktada örneklerimiz say say bitmez, hayal gücünüz ne kadar güçlü ise o kadar şey yapabilirsiniz. Buda demek oluyor ki Pentest firmalar üzerinde gerçekten hayati bir öneme sahiptir.

Pentest-Penetrasyon Testi Türleri

Şimdi dilerseniz biraz daha teknik bilgilere giriş yapalım. Bu şekilde kendini bu alanda  geliştirmek isteyenlere yararımız dokunur.

En bilindik 3 tane Sızma Testi türü vardır.

• BlackBox (Siyah Kutu): Bu senaryoda Pentest yapacak uzmanlara firma hakkında hiçbir bilgi verilmeyip tüm bilgileri kendileri toplamaları istenir. Böylece Dışarıdan bir hackerin verebileceği zararların görülebilmesi sağlanır.
• WhiteBox (Beyaz Kutu): Bu senaryoda ise firma hakkında bir çok bilgi direk olarak Pentest uzmanlarına verilir. Böylece içeriden bir kişinin verebileceği zararlar tespit edilerek en kötü durum düşünülmüş olur.
• GreyBox (Gri Kutu): İsminden de anlaşılacağı gibi BlackBox ve WhiteBox Penetrasyon testlerinin arasında kalan bir türdür. Fazla detaylı olmayacak şekilde firma hakkında bilgi verilir.

Pentest Aşamaları

Her şeyde olduğu gibi Pentestte de bir düzen ve standart vardır. Genelde Pentest uzmanları Penetrasyon Testi yaparken, şu aşama sıralaması ile yaparlar.

1. Bilgi Toplama
2. Ağ Haritalama
3. Zayıflık Tarama
4. Sisteme Erişim
5. Yetki Yükseltme
6. Başka Ağlara Sızma
7. Erişimleri Koruma
8. İzleri Silme
9. Raporlama

Evet bir yazımızın daha sonuna geldik. Aklınıza takılan, anlamadığınız bir şey olursa yorumlar kısmında benimle paylaşabilirsiniz. Cevaplayacağımdan emin olabilirsiniz 🙂 Herkese sağlıklı günler dilerim…

Penetrasyon Testi Metodolojileri

Pentest yaparken çeşitli kurum ve kuruluşların paylaştığı, izlenmesi gereken yollar vardır. Bu yollar Pentest Uzmanları tarafından yaygın olarak kullanılmaktadır.

• OWASP (Açık Web Uygulama Projesi)
• Web Güvenliği Test Metodolojisi
• Mobil Uygulama Güvenliği Test Metodolojisi
• IoT Güvenliği Test Metodolojisi
• OSSTM (Açık Kaynak Güvenlik Testi Metodolojisi)
• ISSAF (Bilgi Sistemleri Güvenlik Değerlendirme Çerçevesi)
• NIST SP800-115
• PTES (Penetrasyon Testi Yürütme Standardı)
• Fedramp

Umarım bu konu hakkında bilgi sahibi olabilmişsinizdir. Aklınıza takılan herhangi bir şey varsa yorumlar kısmından benimle paylamayı lütfen unutmayın. Mutlaka cevaplayacağım 🙂 Sağlıklı günler dilerim…

Ayrıca buna benzer diğer yazımıda inceleyebilirsiniz: https://bit.ly/31Ie5II