Penetrasyon Testi (Pentest) Nedir?
Ülkemizde ve Dünya genelinde, bilişim sektörü yani daha genelleyecek olursak BT (Bilgi Teknolojileri) ‘nin korkulu rüyası olan siber saldırı, bir diğer bilinen adıyla hacking gün geçtikçe daha fazla popülarite kazanıyor. Penetrasyon testi, bu popülariteyle aynı oranda günden güne daha çok araştırılan ve ihtiyaç duyulan hale gelir oldu.
Peki, neden siber saldırı yani hacking günümüzde bu kadar korkulan ve üzerinde daha fazla durulan bir konu haline geldi?
Bu soruya en basit yanıtı aslında günümüzde, hatta tam da şu andan başlayarak verelim; bu yazıyı hangi cihazla okuyorsunuz? Cihazınızda en sık kullandığınız uygulama veya programlar genelde ne konuda sizlere iş kolaylığı sağlıyor. Bu cihazlarla ilgili her ay ortalama olarak ne kadar sistem güncellemesi veya yama sizin isteğinizle ve farkında bile olmadan yapılıyor?
Evet, soruya birçok soruyla karşılık verdik ama aynı zaman da tümünün yanıtlarını da farkında bile olmadan aklınızdan geçirdiniz. Cihazınız her ne olursa olsun, güvenlik artık tüm cihaz ve uygulamalarda şüphesiz ilk akla gelen nokta.
Pentest, herkesin daha net anlayacağı tabirle penetrasyon sızma testi, BT varlıklarındaki yazılım ve uygulamaların olası saldırı girişimlerine karşı ne kadar hazır ve ne kadar dayanıklı olduğunu tespit ve analiz etmemize yarayan, bir dizi arama/ tarama faaliyetine verilen isim.
Penetrasyon Testi Neleri Kapsar, Ne Kadar Sürer?
Pentest, hazırlanan yazılım veya uygulama dahil olmak üzere ağ / network yapısı- sistem mimarisinin tümünü kapsayan, aşamaları, amaç grupları ve türleri farklı olan geniş kapsamda bir aksiyon silsilesidir.
Tek seferde tamamlanması veya tek seferlik uygulanması sistemin gerçek güvenlik açıklarını tespit ve raporlama konusunda yetersiz kalabilir. O yüzden, belirli zaman aralıklarında özellikle gerçekleşen güncelleme ve yenilemelerden sonra mutlaka tekrarlanmalı.
Penetrasyon Aşamaları
Öncelikle kışça hatırlatmak gerekirse, Penetrasyon testi (sızma testi), bir sistemin, ağın veya uygulamanın güvenlik açıklarını bulmak ve bu açıkları değerlendirmek için yapılan bir güvenlik testidir. 8 aşamadan oluşan penetrasyon testi, aşağıdaki aşamalar, amaç ve uygulamalarla tamamlanır.
Planlama ve Hazırlık
Amaç ve Kapsam Belirleme: Testin amacı ve kapsamı tanımlanır. Hangi sistemlerin veya uygulamaların test edileceği, sınırlar ve hedefler belirlenir.
İzinler ve Onaylar: Testin yapılabilmesi için gerekli izinler ve onaylar alınır.
Bilgi Toplama (Reconnaissance)
Pasif Bilgi Toplama: Hedef hakkında genel bilgi toplama (örneğin, internetten, sosyal medya üzerinden bilgi edinme).
Aktif Bilgi Toplama: Hedef sistem hakkında daha fazla bilgi edinme (örneğin, ağ taraması, port taraması).
Tarama (Scanning)
Ağ Tarama: Hedef ağdaki açık portlar, hizmetler ve uygulamalar hakkında bilgi toplamak için yapılan tarama.
Zafiyet Tarama: Bilinen güvenlik açıklarını tespit etmek için tarama araçları kullanılır.
Zafiyet Analizi
Zafiyetlerin Belirlenmesi: Tarama sonuçlarına göre güvenlik açıkları ve zafiyetler belirlenir ve analiz edilir.
Risk Değerlendirmesi: Belirlenen zafiyetlerin potansiyel riskleri ve etkileri değerlendirilir.
Saldırı ve Exploit (Kötüye Kullanım)
Saldırı Yöntemleri: Tespit edilen zafiyetler üzerinden test senaryoları ile saldırılar gerçekleştirilir.
Exploit: Zafiyetlerin kötüye kullanılmasıyla sistemde erişim sağlanır veya kontrol elde edilir.
Post-Exploit (Sonrası İşlemler)
Elde Edilen Erişimin Kullanımı: Sistemde daha derinlemesine analizler yapılabilir veya diğer sistemlere geçiş sağlanabilir.
Temizlik: Test sonrası yapılan değişikliklerin geri alınması veya sistemin eski durumuna getirilmesi sağlanır.
Raporlama
Detaylı Rapor: Testin sonuçları, tespit edilen açıklar, risk değerlendirmesi ve önerilen düzeltici önlemler ile detaylı bir rapor hazırlanır.
Sunum ve Yorumlama: Sonuçlar ilgili taraflara sunulur ve gerektiğinde açıklamalar yapılır.
Düzeltme ve Yeniden Test
Düzeltici Önlemler: Belirlenen zafiyetlerin kapatılması için gerekli düzeltici önlemler alınır.
Yeniden Test: Düzeltici önlemlerin etkinliğini değerlendirmek için yeniden testler yapılabilir.
Süreç sonunda, sistemin yayına alınması – yayın halindeyken tedbirlerin uygulanarak daha güvenli hale getirilmesi veya kritik hatalar/sorunlar nedeniyle askıya alınması gerekir. Sonrasında daha büyük ve maddi kayıplara neden olmaması için test sürecini yöneten ekibin tespit ve raporlarına dikkat edilmeli. Gerekli tedbirler, zaman kaybetmeden alınarak uygulanmalı.
Penetrasyon (Sızma) Testi Fiyatı Nedir?
BT alanında faaliyet gösteren her sistem, yazılım ve uygulama bir süre sonra kullanım yoğunluğu ve ihtiyaçları karşılama popülaritesine göre daha fazla kullanıcıya ulaşacak, daha yoğun işlemler karşılamak zorunda kalacak. Haliyle, maddi açıdan daha yoğun ve değerli hale gelecek. Bu da kötü niyetli ekip ve kişilerin dikkatini elbette çekecek! Yapılacak herhangi bir siber saldırı da öncesinde zafiyetleri belirlenmediyse, sistem veya uygulama hastalıklara karşı sıfırlanmış bir bağışıklık sistemi gibi olacak. Bu da en ufak hatta ilk işlemlerde, sistem çalışmasının aksamasına, saldırı devam ettikçe tamamen kesilmesine hatta gerekli tedbirler hızlan alınmazsa ortadan kaldırılmasına kadar varabilir.
Bu kadar değerli ve önemli bir test, proje bazlı bir fiyatlandırmaya tabidir.
Genel olarak, penetrasyon testi fiyatları şu aralıklarda olabilir:
Küçük Ölçekli Projeler- 2.000 – 5.000 USD
( Kurumsal web siteleri, sınırlı işlemlerin olduğu mobil uygulamalar, 1-10 arası BT varlığına sahip sunucu – client -terminal çalışma sahaları vs.)Orta ölçekli projeler için: 5.000 – 15.000 USD
( E-ticaret siteleri, grup şirket siteleri, medya / haber siteleri, finansal veya üye işlemleri yapılan uygulamalar, 10-50 BT varlığa sahip sunucu – client- terminal çalışma sahaları vs.)Büyük ölçekli veya karmaşık projeler için: 15.000 – 50.000 USD veya daha yüksek
( Devlet kurumu veya kamu iştiraki siteler, global marka siteleri, finansal işlemlerin devam ettiği banka / borsa uygulamaları, 50 ve üzeri BT varlığı sunucu – client – terminal çalışma sahaları vs.)
Penetrasyon Sızma Testini Kimler Yaptırmalı?
Pentest esasında BT alanında faaliyet gösteren tüm firmalar için güvenliğin vazgeçilmezleri arasında olsa da özellikle bu alanda hizmet / ürün ve kamu faaliyetleri yürüten işletme ve organizasyonlar için kaçınılmaz bir gereklilik.
Bunları, 7 farklı kategori de şu şekilde incelemeniz mümkün:
1. Şirketler ve Kuruluşlar
Finansal Kuruluşlar: Bankalar, sigorta şirketleri ve diğer finansal hizmet sağlayıcıları, yüksek hassasiyetteki verileri korumak ve düzenleyici gereksinimlere uymak için penetrasyon testi yaptırmalıdır.
Teknoloji Şirketleri: Yazılım ve teknoloji firmaları, ürün ve hizmetlerinin güvenliğini sağlamak için düzenli olarak testler yapmalıdır.
Sağlık Kuruluşları: Hastaneler, klinikler ve sağlık hizmetleri sağlayıcıları, hasta verilerini korumak için güvenlik testleri gerçekleştirmelidir.
E-ticaret Şirketleri: Online mağazalar ve e-ticaret siteleri, müşteri bilgilerini ve ödemeleri korumak amacıyla penetrasyon testleri yapmalıdır.
Kamu Kurumları ve Devlet Organları: Kamu sektörü kurumları, hassas bilgileri ve altyapıları korumak için penetrasyon testi yaptırmalıdır.
2. Küçük ve Orta Ölçekli İşletmeler (KOBİ’ler)
İnternet Üzerinden İşleyen KOBİ’ler: Özellikle çevrimiçi iş yapan KOBİ’ler, siber saldırılara karşı korunmak için güvenlik testleri yaptırmalıdır.
Yerel İşletmeler: Bilişim ve veri güvenliği riski taşıyan tüm yerel işletmeler için penetrasyon testi önemlidir.
3. Eğitim Kurumları
Üniversiteler ve Araştırma Kurumları: Eğitim kurumları, öğrenci ve araştırma verilerini korumak için düzenli güvenlik testleri yapmalıdır.
4. Hükümet ve Savunma Kurumları
Ulusal Güvenlik ve Savunma: Savunma bakanlıkları ve ulusal güvenlik ajansları, kritik altyapı ve bilgilerin güvenliğini sağlamak için penetrasyon testleri yaptırmalıdır.
5. Kişisel Kullanıcılar ve Bireyler
Yüksek Net Değerli Bireyler: Özel bilgileri ve finansal varlıkları korumak isteyen bireyler de sızma testi yaptırabilir.
Girişimciler ve Start-up’lar: Teknoloji tabanlı girişimler ve start-up’lar, ürünlerinin güvenliğini sağlamak için testler yapabilir.
6. Yatırımcılar ve İş Ortakları
Dış Yatırımcılar: Yatırım yapmadan önce potansiyel yatırım yaptıkları şirketlerin güvenlik durumunu değerlendirmek isteyebilirler.
İş Ortakları: Bir organizasyonun iş ortakları, karşılıklı güvenliği sağlamak için güvenlik testlerinin yapılmasını talep edebilir.
7. Hizmet Sağlayıcıları ve Danışmanlık Şirketleri
Güvenlik Danışmanları: Kendi güvenlik açıklarını tespit etmek ve bu durumun müşteri güvenliğini etkileyip etkilemediğini kontrol etmek için penetrasyon testi yaptırabilirler.
Penetrasyon testi, her seviyedeki güvenlik risklerini belirleyip düzeltici önlemler almayı sağlayarak bilgi güvenliği stratejilerinin etkili bir şekilde uygulanmasına yardımcı olur.
Penetrasyon sızma testi arayışında olan birçok firma, girişim, kamu iştiraki veya özel işletme DGRNET’in uzman ekibiyle verdiği bu hizmeti mutlaka incelemeli. Dijital dünyadaki varlığınızı ve değerlerinizi koruma altına almak, güvenliğinden emin olmak için tek bir adım kaldı!
Penetrasyon ( Sızma ) Testi Hakkında Detaylı Bilgi
Penetrasyon ( Sızma ) Testi Hakkında Detaylı Bilgi Edinin!