1.
Pentest Nedir?
Siber güvenlik dünyasında "Ethical Hacking" (Etik Hackerlık) olarak da bilinen Pentest; yetkili uzmanlar tarafından gerçekleştirilen, kontrollü ve planlı bir siber saldırı simülasyonudur. BT altyapılarının dayanıklılığını ölçmek isteyen kurumlar, profesyonel hizmet sağlayıcılarla çalışarak; dışarıdan veya içeriden gelebilecek tehditlere karşı yapısal ve operasyonel zafiyetlerini (Vulnerability) proaktif bir yaklaşımla tespit etmeyi hedefler. Peki, pentest nedir? Bu yazıda sızma testinin ne demek olduğu, çeşitleri, uygulama adımları ve diğer detayları öğrenmeniz mümkün. Karşınızda, penetrasyon testi nasıl yapılır ve ne işe yarar, sorularının ayrıntılı cevabı!
Sızma Testi (Pentest); mevcut ağ ve güvenlik çözümlerinin etkinliğini doğrulamak, konfigürasyon hatalarını ve insan faktöründen kaynaklı riskleri belirlemek amacıyla gerçekleştirilen kapsamlı bir güvenlik denetimidir. Yama (Patch) yönetimi eksiklikleri, zayıf parola politikaları, yetkisiz erişime açık yönetim panelleri ve güvensiz API uç noktaları gibi kritik vektörler, bu testlerin odak noktasını oluşturur. Farklı yöntem ve senaryolarla uygulanan bu testlerin temel amacı; web sitesi, mobil uygulama, sunucu, ağ ya da API’lerde kurum için fark edilmeden tehdit oluşturan zafiyetlerin görünür hale getirilmesini ve olası bir siber saldırı gerçekleşmeden önce önlem alınmasını sağlamaktır. Ayrıca siber dayanıklılığın (Cyber Resilience) tam olarak sağlanması için sızma testlerinin yanı sıra, olası bir veri ihlali veya kesinti durumunda iş sürekliliğini garanti altına alan Disaster Recovery as a Service (Hizmet Olarak Felaket Kurtarma) çözümleri stratejik bir öneme sahiptir.
2.
Pentest Teknikleri Neler?
- Black Box Pentest (Siyah Kutu): Test uzmanına hedef sistem hakkında hiçbir ön bilginin verilmediği, "kör test" olarak da adlandırılan yöntemdir. Uzman, tıpkı dışarıdaki bir siber saldırgan gibi hareket ederek, yalnızca Açık Kaynak İstihbaratı (OSINT) yöntemleriyle elde ettiği verileri kullanır ve sisteme dışarıdan sızmayı dener. Test süreci tamamlandıktan sonra tespit edilen güvenlik açıkları, detaylı şekilde raporlanır.
- White Box Pentest: Black Box Pentest’in aksine bu yöntemde uzmana; sistem mimarisi, kaynak kodlar, kullanıcı yetkileri ve altyapı detayları gibi kapsamlı bilgiler sunulur. Beyaz Kutu (White Box) Pentest’in amacı; kaynak kod analizi ve tam sistem görünürlüğü sayesinde, dışarıdan tespit edilmesi zor olan mantıksal hataları ve derinlemesine güvenlik zafiyetlerini (Deep-dive Analysis) ortaya çıkarmaktır. Bu yöntem, kurum içi tehditlerin (Insider Threat) simülasyonu için de en etkili yoldur.
- Grey Box Pentest (Gri Kutu): Black Box ve White Box yöntemlerinin birleşimi (Hibrit) olarak uygulanan bu testte; uzmana sistem hakkında sınırlı bilgi verilir. Uzmana, sistemdeki sınırlı kullanıcıların veya yetkisi kısıtlı kişilerin erişebileceği bilgiler verilir. Bu sayede hem dışarıdan hem de kısmi yetkilerle içeriden gelebilecek saldırı senaryoları gerçekçi biçimde test edilir.
3.
Pentest Çeşitleri
Penetrasyon testi nedir, sorusunun cevabını de içinde barındıran pentest çeşitlerini aşağıda görebilirsiniz.
- Mobil Uygulama Pentest: Mobil uygulamalarda kullanıcı verilerinin korunup korunmadığını, yetkisiz erişim veya veri sızıntısı risklerinin olup olmadığını test etmeye yönelik çalışmalardır.
- DDoS ve Yük Testleri: Sistemlerin ani ve yoğun kullanıcı trafiği altında nasıl davrandığını, hizmetin kesintiye uğrayıp uğramadığını ölçmek için yapılan testlerdir.
- Wi-Fi Pentest: Kurumun kablosuz ağlarının dışarıdan veya yetkisiz kişiler tarafından erişilip erişilemeyeceğini kontrol eden güvenlik testleridir.
- VoIP Altyapısı Pentest: İnternet üzerinden yapılan sesli iletişim altyapısında, dinleme, yetkisiz arama veya servis kesintisi gibi risklerin olup olmadığını inceleyen penetrasyon (sızma) testidir.
- Ağ Pentest: Kurum içi ve dışı ağ yapısında bulunan sunucu, cihaz ve bağlantı noktalarının güvenlik seviyesini ölçmeye yönelik testlerdir.
- Web Uygulama Pentest: Web siteleri ve web tabanlı uygulamalarda, kullanıcıların veya saldırganların istismar edebileceği güvenlik açıklarını tespit etmeyi amaçlayan testlerdir.
- Sosyal Mühendislik Pentest: Çalışanların sahte e-posta, telefon araması veya mesajlar yoluyla kandırılıp kandırılamayacağını ölçen, insan faktörünü merkeze alan testlerdir.
4.
Pentest Nasıl Uygulanır? Adımlar Neler?
Aşağıda penetrasyon testi aşamaları detaylarını görebilirsiniz.
Bilgi Toplama Adımı
Sızma testinin en kritik ve zaman alıcı evresi olan bu aşama; hedef sistem hakkında pasif ve aktif bilgi toplama (Reconnaissance) sürecini kapsar. Bu adımda, hedef hakkında teknik ve teknik olmayan yöntemlerle veri elde etmek amaçlanmaktadır. DNS sorguları, arama motorları, e-posta listeleri, sosyal ağlar ya da haber grupları incelenerek sisteme karşı yapılabilecek mümkün olan her saldırı yolu keşfedilmeye çalışılır. Bu sayede diğer aşamalarda atılacak en kapsamlı adımlar ortaya çıkmış olur.
Ağ Haritalama Adımı
Pasif bilgi toplama sürecinin ardından, hedef sistemin ağ topolojisini ve aktif cihazlarını belirlemek için "Tarama ve Numaralandırma (Scanning & Enumeration)" aşamasına geçilir. Ağ Haritalama Adımı içinde yapılacaklar arasında; sistem üzerinde port ve servis taraması, hangi işletim sistemlerinin çalıştığının tespit edilmesi, bu işletim sistemlerine ait versiyonların belirlenmesi, sistemlerdeki donanım ve yazılımların tespiti, açık sistemlerin ortaya çıkarılması ve ağ cihazlarının tespit edilmesi yer almaktadır.
Sınıflandırma Adımı
Pentest'in Numaralandırma (Enumeration) veya Sınıflandırma olarak adlandırılan evresinde; tespit edilen aktif cihazlar üzerinde detaylı TCP/UDP port taramaları ve servis keşifleri gerçekleştirilir. Burada amaç, açık portların hangi servislerce kullanıldığı ve versiyonlarının ne olduğunu belirlemektir. Belli yöntemler kullanılarak gerçekleştirilen bu tespitlerin ardından bilgilerin doğruluğu onaylanır ve ortaya çıkarılan zafiyetler, daha sonraki adımlarda kullanılmak üzere not alınır. Eğer tespit edilen sistemler içinde router ya da switch gibi aktif ağ cihazları yer alıyorsa bu cihazlarda çalışan işletim sistemleri ve onların versiyonları bulunma yoluna gidilir. Her biri ortaya çıkarıldıktan sonra ise yapılandırma sorunları başlığı altında raporlanır.
Zafiyet Tespiti Adımı
Adından da anlaşılacağı üzere bu adımda, önceki aşamalarda elde edilen veriler ışığında sistemdeki güvenlik açıkları (Vulnerability Assessment) tespit edilir ve doğrulanır. Sürecin en kritik noktası ise tespit edilen bu zafiyetlerin, uygun "Exploit" (İstismar) kodları kullanılarak sömürülmesi ve sisteme yetkili erişim (Access Gaining) sağlanmasıdır. Ancak unutulmamalıdır ki zafiyet tarama araçları ayarları ön tanımlı değil, hedef sisteme göre konfigüre edilebilir şekilde tasarlanmıştır. Ayrıca bu testin sonunda hedef sisteme sızma yolları ve senaryoları da belirlenmiş olur.
"Pentesting nedir?" konusuna ek olarak Ağ Güvenlik Anahtarı ve Switch Nedir? başlıklı yazımız da ilginizi çekebilir.
