Pentest Nedir ve Pentest Çeşitleri Nelerdir?

Pentest; belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak gerçekleştirilen güvenlik testleridir. Bu kapsam da Pentest çalışmalarındaki asıl amaç; zafiyeti tespit etmekten ziyade ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir.

Penetration Testing veya Pentest olarak bilinen bu kavram Türkçe’de Sızma Testi olarak kullanılmaktadır.  Bilgi teknolojilerinin hızla gelişmesi ve bilgiye erişimin kolaylaşması, bilgilerinizin güvenliğini de o denli önemli kılmaktadır.  Sistemlere saldıran kötü amaçlı kişilerin sayısı, bilgi ve becerisi, zamanı ve motivasyonu her zaman güvenlik uzmanlarının sahip olduğu zaman, bilgi ve motivasyonun üzerindedir.

Hackerların önüne geçebilmek adına, sistemleri onlar gibi düşünebilen ve hareket edebilen kişiler tarafından teste tabi tutmak önemli bir zorunluluk haline gelmektedir. Bilişim alanındaki temel güvenlik yaklaşımını ikiye ayırabiliriz,

-defensive security (savunmacı güvenlik olarak adlandırılır),
-offensive security (proaktif güvenlik olarak adlandırılır).

Pentest çalışmaları ise offensive security anlayışının bir sonucu olarak ortaya çıkmıştır. Pentest, hedef olarak belirlenmiş sistemlere saldırgan bakış açısıyla yaklaşarak teknik olarak olası bütün yöntemlerin denenip sızılması ve sistemlerin ele geçirilmesi işlemidir.

Sızma Testi kapsamında risklerin, zayıflıkların meydana getirebileceği zararlar, saldırganların ulaşabilecekleri noktaların analizi yapılarak sistemler tam bir denetime tabi tutulur.

Penetration Testing (Sızma testi) ve Vulnerability Assessment (Zafiyet değerlendirme/tarama) birbirine benzeyen fakat farklı kavramlardır. Zafiyet tarama işlemi hedef sistemlerdeki güvenlik zafi- yetlerinin, açık kaynak veya ücretli otomatize zafiyet tarama yazılımları kullanılarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç zafiyet bulmaktan öte bulunan zafiyeti değerlendirip sistemlere erişim yollarının keşfedilmesi ve yetkili erişimler elde etmektir. Hedef sistemler üzerinde gerçekleştirilebilecek ek işlemlerin (sisteme sızma, bilgilere erişme, etkiyi tanımlama) belirlenmesidir.

Pentest Çeşitleri; Pentest hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak üçe ayrılır.

1-İç Ağ (Internal) Sızma Testi; çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.

2-Dış Ağ (External) Sızma Testi; çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.

3-Web Uygulama Sızma Testi; çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır ancak odak noktamız web uygulamalarıdır.

Diğer konumuzda görüşmek üzere, iyi günler dilerim…