- 17 Kas 2020
- 922
- 507
İnternet ortamında güvenlik giderek daha önemli hale gelmiştir çünkü siber saldırıların sayısı ve yöntemleri artmış ve artmaya devam etmektedir. Ayrıca internete duyulan ihtiyaç ve interneti kullanan alanların da artmasından dolayı daha fazla önemli verinin buraya kaydedilmiş olmasıyla da kötü amaçlı yapılan erişimler hızlı şekilde artmıştır. Bu konuda güvenlik önemleri de buna bağlı olarak artırılmış, güçlendirilmiş ve çeşitlendirilmiştir. Bu önlemlerin teknik olarak mümkün olduğunca daha etkili olabilmesi için güvenlik testlerinden geçmeleri daha uygun olmaktadır. Bu testlere sızmatesti (penetrasyontesti-pentest) denilmektedir.
Bu testler bir anlamda da tatbikattır. Kurumların, işletmelerin, kullanıcıların tedbirlerinin görülebilmesi için düzenli olarak yaptırılmalıdır. Hangi kapsamda çalışılacağı belirlenmiş bilişim sistemlerine karşı gerekli yolların denenerek sızılmaya çalışılması işlemlerini içerir.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ve ISO27001BilgiGüvenliğiYönetimSistemi’ne göre, kurumların ve işletmelerin verilerinin ve cihazlarının düzenli şekilde güvenlik testlerini yaptırmaları ve sonuçlarına göre gerekli önlemleri almaları zorunlu tutulmaktadır.
Güvenlik Testleri:
. Veri Tabanı Sızma Testleri ve Güvenlik Denetimi-Bu anlamda blackbox ve whitebox testleri yapılarak sızma riskleri önlemi alınmış olur.
. Dış Ağdaki Bileşenlerde Zafiyet Taraması-Dış ağdan gelebilecek sızma girişimlerinin yapılıp yapılamayacağı konusunda yapılan testtir.
. Web Uygulamaları İçin Sızma Testi- İnternete açık olan Mail, DNS, Web, FTP gibi servisleri üzerinden pentest yapılarak güvenlik testlerini içerir.
. Yerel Ağ (Network) Pentest- Kurumların yerel ağlarında bağlı bir istemcinin güvenlik risklerini göstermek için yapılarak zafiyetler ve yapılandırma hatalarının ortaya çıkması sağlanır.
. Mobile Pentest- Android ve IOS işletim sistemleri için mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içerir.
. Cloud Pentest- Bulut (Cloud) sunucularındaki zafiyetler, sunucu üzerindeki yapılandırma hataları, güvenlik cihazlarının yeterlilik oranları konularındaki testleri içerir.
. Kaynak Kod Analizi- Kurumlar, işletmeler, son kullanıcılar için üretilen uygulamaların kaynak kodları incelenir, varsa zafiyet tespiti yapılır.
. Etki Alanı (Domain) Yapılandırma, DNS (Domain Name System-Alan Adı Sistemi) Servisi Testleri- Merkezi yapı yönetiminin fiziksel ve ağ güvenliğinin açıklarının olup olmadığı, zafiyet istismarı oluşursa ağ üzerindeki diğer bilgisayarlara erişim sağlanıp sağlanamayacağı durumu test edilir.
. Kurumlara Özel Yazılımların Güvenlik Testleri ve Web Uygulamaları Sızma Testleri- Kurum içinde veya dış ağda olan uygulamalara ve yazılımlara yapılan testlerdir.
. E-posta Servisi Testleri-E-posta sistemlerindeki zafiyet taramalarını kapsar.
. Dağıtık Servis Dışı Bırakma / Dağıtık Hizmet Engelleme (DDoS-Distributed Denial of Service) testleri-Kurum ağ alt yapısındaki varlıklara yönelik sızma girişimleri konusunda ve bu konudaki güvenlik açıkları tespiti için yapılan testlerdir.
. Kablosuz Ağ (Wireless) Güvenlik Denetimi- Kurumların veya firmaların iç ağlardaki kablosuz ağ yapısının kötü niyetli kişilerin saldırılarına karşı sızma testleriyle ilgilidir. Wireless ağlardaki yapılandırma hataları, açıklıklar ve diğer zafiyetlerin testi yapılır.
. Voip Altyapısı Testleri-Kullanılan VOIP sisteminin analizi yapılarak bu sistem üzerinden yapılabilecek sahtekarlıkların, zafiyetlerin test edilmesini içerir.
. Sosyal Mühendislik (Phishing) Testleri-Son kullanıcıların, kurum veya firma çalışanlarının e-posta ve kullanıcı hesaplarının sosyal mühendislik saldırısıyla ele geçirilmelerini, kurum veya firma ağına giriş denemelerine engel olunması için yapılan testlerdir.
. Güvenlik Duvarı Testleri-Güvenlik duvarlarının zafiyetlerinin, kritik açıkların testi yapılır. Hangi güvenlik risklerini tespit edemediğinin belirlenmesi için yapılır.
. URL ve İçerik Filtreleme Testleri- İnternet ağındaki zararlı içeriklerden korunulması için yapılır. Belirlenen tarama kurallarının zararlı içerikleri engelleyip engelleyemediği test edilir.
. Bilgisayar İçin Sızma Güvenlik Denetimi-Bilgisayar sistemindeki güvenlik açıklarının tespiti için bu açıklardan yararlanılarak uygulanan testtir. Bu testlerle, sistemin savunma sisteminde, saldırganların yararlanabileceği zayıf noktaların belirlenmesi amaçlanır.
Örnek Bir Güvenlik Testi Senaryosu
Bir uygulamanın herhangi bir özelliğinin doğru çalışıp çalışmadığının belirlenmesi ve doğrulanması için belli talimatlar dizisi gerçekleştirilir ve uygulamaya girişi, eylemi ve beklenen yanıtı tanımlayan bileşenlerle denetim sağlanır. Böylece söz konusu sistemin beklenen davranışı karşılayıp karşılamadığı tespit edilir.
Yapılan testlerin amacı yapılan çalışmada ve çalışmanın etkileyebileceği alanlarda hata olup olmadığının kontrolünün sağlanmasıdır.
Bu testler bir anlamda da tatbikattır. Kurumların, işletmelerin, kullanıcıların tedbirlerinin görülebilmesi için düzenli olarak yaptırılmalıdır. Hangi kapsamda çalışılacağı belirlenmiş bilişim sistemlerine karşı gerekli yolların denenerek sızılmaya çalışılması işlemlerini içerir.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ve ISO27001BilgiGüvenliğiYönetimSistemi’ne göre, kurumların ve işletmelerin verilerinin ve cihazlarının düzenli şekilde güvenlik testlerini yaptırmaları ve sonuçlarına göre gerekli önlemleri almaları zorunlu tutulmaktadır.
Güvenlik Testleri:
. Veri Tabanı Sızma Testleri ve Güvenlik Denetimi-Bu anlamda blackbox ve whitebox testleri yapılarak sızma riskleri önlemi alınmış olur.
. Dış Ağdaki Bileşenlerde Zafiyet Taraması-Dış ağdan gelebilecek sızma girişimlerinin yapılıp yapılamayacağı konusunda yapılan testtir.
. Web Uygulamaları İçin Sızma Testi- İnternete açık olan Mail, DNS, Web, FTP gibi servisleri üzerinden pentest yapılarak güvenlik testlerini içerir.
. Yerel Ağ (Network) Pentest- Kurumların yerel ağlarında bağlı bir istemcinin güvenlik risklerini göstermek için yapılarak zafiyetler ve yapılandırma hatalarının ortaya çıkması sağlanır.
. Mobile Pentest- Android ve IOS işletim sistemleri için mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içerir.
. Cloud Pentest- Bulut (Cloud) sunucularındaki zafiyetler, sunucu üzerindeki yapılandırma hataları, güvenlik cihazlarının yeterlilik oranları konularındaki testleri içerir.
. Kaynak Kod Analizi- Kurumlar, işletmeler, son kullanıcılar için üretilen uygulamaların kaynak kodları incelenir, varsa zafiyet tespiti yapılır.
. Etki Alanı (Domain) Yapılandırma, DNS (Domain Name System-Alan Adı Sistemi) Servisi Testleri- Merkezi yapı yönetiminin fiziksel ve ağ güvenliğinin açıklarının olup olmadığı, zafiyet istismarı oluşursa ağ üzerindeki diğer bilgisayarlara erişim sağlanıp sağlanamayacağı durumu test edilir.
. Kurumlara Özel Yazılımların Güvenlik Testleri ve Web Uygulamaları Sızma Testleri- Kurum içinde veya dış ağda olan uygulamalara ve yazılımlara yapılan testlerdir.
. E-posta Servisi Testleri-E-posta sistemlerindeki zafiyet taramalarını kapsar.
. Dağıtık Servis Dışı Bırakma / Dağıtık Hizmet Engelleme (DDoS-Distributed Denial of Service) testleri-Kurum ağ alt yapısındaki varlıklara yönelik sızma girişimleri konusunda ve bu konudaki güvenlik açıkları tespiti için yapılan testlerdir.
. Kablosuz Ağ (Wireless) Güvenlik Denetimi- Kurumların veya firmaların iç ağlardaki kablosuz ağ yapısının kötü niyetli kişilerin saldırılarına karşı sızma testleriyle ilgilidir. Wireless ağlardaki yapılandırma hataları, açıklıklar ve diğer zafiyetlerin testi yapılır.
. Voip Altyapısı Testleri-Kullanılan VOIP sisteminin analizi yapılarak bu sistem üzerinden yapılabilecek sahtekarlıkların, zafiyetlerin test edilmesini içerir.
. Sosyal Mühendislik (Phishing) Testleri-Son kullanıcıların, kurum veya firma çalışanlarının e-posta ve kullanıcı hesaplarının sosyal mühendislik saldırısıyla ele geçirilmelerini, kurum veya firma ağına giriş denemelerine engel olunması için yapılan testlerdir.
. Güvenlik Duvarı Testleri-Güvenlik duvarlarının zafiyetlerinin, kritik açıkların testi yapılır. Hangi güvenlik risklerini tespit edemediğinin belirlenmesi için yapılır.
. URL ve İçerik Filtreleme Testleri- İnternet ağındaki zararlı içeriklerden korunulması için yapılır. Belirlenen tarama kurallarının zararlı içerikleri engelleyip engelleyemediği test edilir.
. Bilgisayar İçin Sızma Güvenlik Denetimi-Bilgisayar sistemindeki güvenlik açıklarının tespiti için bu açıklardan yararlanılarak uygulanan testtir. Bu testlerle, sistemin savunma sisteminde, saldırganların yararlanabileceği zayıf noktaların belirlenmesi amaçlanır.
Örnek Bir Güvenlik Testi Senaryosu
Bir uygulamanın herhangi bir özelliğinin doğru çalışıp çalışmadığının belirlenmesi ve doğrulanması için belli talimatlar dizisi gerçekleştirilir ve uygulamaya girişi, eylemi ve beklenen yanıtı tanımlayan bileşenlerle denetim sağlanır. Böylece söz konusu sistemin beklenen davranışı karşılayıp karşılamadığı tespit edilir.
Yapılan testlerin amacı yapılan çalışmada ve çalışmanın etkileyebileceği alanlarda hata olup olmadığının kontrolünün sağlanmasıdır.
Son düzenleme:
