Etik Hackleme - Kalem Testi

Sızma Testi, birçok firmanın güvenlik ihlallerini en aza indirmek için uyguladığı bir yöntemdir. Bu, sisteminizi hacklemeye ve düzeltmeniz gereken boşlukları göstermeye çalışan bir profesyoneli işe almanın kontrollü bir yoludur.

Sızma testi yapmadan önce, aşağıdaki parametrelerden açıkça bahsedecek bir anlaşmaya sahip olmak zorunludur:

  • sızma testi ne zaman olacak,

  • saldırının IP kaynağı nerede olacak ve

  • sistemin penetrasyon alanları ne olacak.

Sızma testi, ağırlıklı olarak ticari, açık kaynaklı araçlar, otomatikleştirme araçları ve manuel kontroller kullanan profesyonel etik hackerlar tarafından yürütülür. Kısıtlama yoktur; Buradaki en önemli amaç, mümkün olduğunca çok sayıda güvenlik açığını ortaya çıkarmaktır.

Sızma Testi Türleri

Beş tür sızma testimiz var -

  • Black Box- Burada etik hacker, girmeye çalıştığı organizasyonun altyapısı veya ağı ile ilgili herhangi bir bilgiye sahip değildir. Kara kutu penetrasyon testinde, bilgisayar korsanı bilgiyi kendi imkanlarıyla bulmaya çalışır.

  • Grey Box - Etik bilgisayar korsanının, alan adı sunucusu gibi altyapı hakkında kısmi bilgiye sahip olduğu bir tür sızma testidir.

  • White Box - Beyaz kutu penetrasyon testinde, etik hacker'a girmesi gereken organizasyonun altyapısı ve ağı hakkında gerekli tüm bilgiler sağlanır.

  • External Penetration Testing- Bu tür sızma testi esas olarak ağ altyapısına veya sunuculara ve bunların altyapı altında çalışan yazılımlarına odaklanır. Bu durumda, etik hacker saldırıyı internet üzerinden halka açık ağları kullanarak dener. Bilgisayar korsanı, web sayfalarına, web sunucularına, genel DNS sunucularına vb. Saldırarak şirket altyapısını hacklemeye çalışır.

  • Internal Penetration Testing - Bu tür sızma testlerinde etik hacker şirket ağının içindedir ve testlerini oradan gerçekleştirir.

Sızma testi ayrıca sistem arızası, sistemin çökmesi veya veri kaybı gibi sorunlara da neden olabilir. Bu nedenle, bir şirket penetrasyon testine geçmeden önce hesaplanmış riskler almalıdır. Risk aşağıdaki şekilde hesaplanır ve bir yönetim riskidir.

RISK = Threat × Vulnerability

Misal

Üretimde olan bir çevrimiçi e-ticaret web siteniz var. Canlı hale getirmeden önce sızma testi yapmak istiyorsunuz. Burada, önce artıları ve eksileri tartmanız gerekir. Sızma testine devam ederseniz, hizmet kesintisine neden olabilir. Aksine, bir sızma testi yapmak istemezseniz, her zaman bir tehdit olarak kalacak yamalı bir güvenlik açığına sahip olma riskiyle karşı karşıya kalabilirsiniz.

Sızma testi yapmadan önce projenin kapsamını yazılı olarak belirlemeniz önerilir. Neyin test edileceği konusunda net olmalısınız. Örneğin -

  • Şirketinizin bir VPN veya başka bir uzaktan erişim tekniği var ve bu belirli noktayı test etmek istiyorsunuz.

  • Uygulamanızın veritabanları olan web sunucuları vardır, bu nedenle, bir web sunucusundaki en önemli testlerden biri olan SQL enjeksiyon saldırıları için test ettirmek isteyebilirsiniz. Ek olarak, web sunucunuzun DoS saldırılarına karşı bağışık olup olmadığını kontrol edebilirsiniz.

Hızlı ipuçları

Sızma testine geçmeden önce aşağıdaki noktaları aklınızda bulundurmalısınız:

  • Önce gereksinimlerinizi anlayın ve tüm riskleri değerlendirin.

  • Bir ağ veya web uygulamasındaki olası boşlukları ortaya çıkarmak için olası tüm yöntemleri ve teknikleri uygulamak üzere eğitildikleri için sızma testi yapmak için sertifikalı bir kişiyi işe alın.

  • Sızma testi yapmadan önce daima bir anlaşma imzalayın.