Sızma Testi - Manuel ve Otomatik
Hem manuel sızma testi hem de otomatik sızma testi aynı amaç için yapılır. Aralarındaki tek fark, gerçekleştirilme biçimleridir. Adından da anlaşılacağı gibi, manuel penetrasyon testi insanlar (bu alanın uzmanları) tarafından yapılır ve otomatik penetrasyon testi makinenin kendisi tarafından yapılır.
Bu bölüm, her iki terimin kavramını, farklılıklarını ve uygulanabilirliğini öğrenmenize yardımcı olacaktır.
Manuel Penetrasyon Testi nedir?
Manuel sızma testi, insanlar tarafından yapılan testtir. Bu tür testlerde, bir makinenin zafiyet ve riski uzman bir mühendis tarafından test edilir.
Genel olarak, test mühendisleri aşağıdaki yöntemleri uygular:
Data Collection- Veri toplama, test için önemli bir rol oynar. Veriler manuel olarak toplanabilir veya çevrimiçi olarak ücretsiz olarak sunulan araç hizmetlerini (web sayfası kaynak kodu analizi tekniği vb.) Kullanabilir. Bu araçlar, tablo adları, DB sürümleri, veritabanı, yazılım, donanım ve hatta farklı üçüncü taraf eklentileri gibi bilgilerin toplanmasına yardımcı olur.
Vulnerability Assessment - Veriler toplandıktan sonra, test uzmanlarının güvenlik zafiyetini belirlemesine ve buna göre önleyici adımlar atmasına yardımcı olur.
Actual Exploit - Bu, uzman bir testçinin bir hedef sisteme saldırı başlatmak için kullandığı tipik bir yöntemdir ve benzer şekilde saldırı riskini azaltır.
Report Preparation- Sızma işlemi tamamlandıktan sonra, test uzmanı sistemle ilgili her şeyi açıklayan nihai bir rapor hazırlar. Son olarak rapor, hedef sistemi korumak için düzeltici adımlar atmak üzere analiz edilir.
Manuel Sızma Testi Türleri
Manuel sızma testi normalde aşağıdaki iki şekilde kategorize edilir:
Focused Manual Penetration Testing- Belirli güvenlik açıklarını ve riskleri test eden çok odaklı bir yöntemdir. Otomatik sızma testi bu testi gerçekleştiremez; yalnızca belirli alanlardaki belirli uygulama güvenlik açıklarını inceleyen insan uzmanlar tarafından yapılır.
Comprehensive Manual Penetration Testing- Her türlü riski ve zafiyeti belirlemek için birbirine bağlı tüm sistemlerin test edilmesidir. Bununla birlikte, bu testin işlevi, daha düşük riskli hataların daha savunmasız saldırı senaryosu getirip getiremeyeceğini araştırmak gibi daha durumsaldır.
Otomatik Penetrasyon Testi nedir?
Otomatik sızma testi, bir makinenin güvenlik açığını ve riskini otomatik olarak test eden çok daha hızlı, verimli, kolay ve güvenilirdir. Bu teknoloji herhangi bir uzman mühendis gerektirmez, bunun yerine bu alanda en az bilgiye sahip herhangi bir kişi tarafından çalıştırılabilir.
Otomatik sızma testi için araçlar Nessus, Metasploit, OpenVAs, geri çekilme (seri 5), vs.'dir. Bunlar, sızma testinin verimliliğini ve anlamını değiştiren çok verimli araçlardır.
Bununla birlikte, aşağıdaki tablo manuel ve otomatik sızma testi arasındaki temel farkı göstermektedir -
Manuel Penetrasyon Testi | Otomatik Penetrasyon Testi |
---|---|
Testi yapmak için uzman mühendis gerekir. | Otomatiktir, böylece bir öğrenci bile testi yapabilir. |
Test için farklı araçlar gerektirir. | Dışarıdan herhangi bir şey gerektirmeyen entegre araçları vardır. |
Bu tür testlerde sonuçlar testten teste değişebilir. | Sabit sonucu var. |
Bu test, test cihazı tarafından hafızayı temizlediğini hatırlamayı gerektirir. | O değil. |
Kapsamlıdır ve zaman alır. | Daha verimli ve hızlıdır. |
Ek avantajları da var, yani bir uzman kalem testi yaparsa daha iyi analiz edebilir, bir hacker'ın ne düşünebileceğini ve nereye saldırabileceğini düşünebilir. Dolayısıyla güvenliği buna göre koyabilir. | Durumu analiz edemez. |
İhtiyaca göre, bir uzman birden fazla test çalıştırabilir. | Olamaz. |
Kritik durum için daha güvenilirdir. | O değil. |