NGFdMGJcLWVcNaF6NGV7LGxdLTcsynIkynwdxn1c
Penetrasyon Testi Pentest Eğitim

Penetrasyon Testi Pentest Eğitim

Penetrasyon Testi (Pentest) Nedir? Pentest Eğitimleri

Pentest alanında uzman olmak istiyorum diyenlerden iseniz sizlere güvenlik analisti olma yolunda adım adım nasıl ilerlemeniz gerektiği bilgisini bir önceki konumuzda vermiştik.
Penetrasyon testi (Pentest), şirketlerin ve kurumların kendi sistemlerini saldırgan bakış açısı test ederek veya ettirerek sistemlerinin güvenli olup olmadığını öğrenmek için gerçekleştirilmektedir. Penetrasyon testi aynı zamanda sektörümüzde pentest veya sızma testi olarak ta isimlendirilmektedir. Penetrasyon testi esnasında, firmalara alanında yetkin kişiler tarafından bir sızma simülasyonu gerçekleştirir. Penetrasyon testi sırasında çeşitli saldırı yöntemleri denenerek gerçek bir saldırgan gibi sisteme sızmaya çalışılır.
Penetrasyon testini gerçekleştiren kişi ya da kişiler bulduğu açıklıkları raporlayarak gerçek saldırganlardan önce firmanın bu açıklıklardan haberdar olması sağlanmaktadır. Bu sayede şirketler sistemleri üzerinde açık bulunan kısımlardan haberdar olmuş olur ve bu kısımlarda bulunan güvenlik açıklıklarını kapatırlar.

Penetrasyon Testi (Pentest) Yöntemleri

Black Box Pentest
Bu test türünde penetrasyon testi uzmanına sistemler hakkında herhangi bir bilgi verilmez. Gerçek bir hacker gibi sistem hakkında sadece herkes tarafından erişilebilir bilgiler ile penetrasyon testi gerçekleştirilir.
White Box Pentest
Bu testte penetrasyon testi uzmanına firmadaki çalışan sistemler hakkında tam bilgi verilir. Burada amaç firmada çalışan kişilerin ya da sızmayı gerçekleştirmiş ve sistemde bir süre beklemede kalıp yapıyı kavrayan saldırganın, firmaya verebileceği zararı tespit edebilmektir.
Grey Box Pentest
Grey box penetrasyon testi hem white box hem de black box testinin tam ortasında bulunmaktadır. Penetrasyon testi uzmanına sistem hakkında yetkisiz bir kullanıcının bildiği bilgiler ve yetkiler verilir.

Penetrasyon Testi (Pentest) Türleri

Ağ penetrasyon Testleri

         o İç Ağ Penetrasyon Testi

         o Dış Ağ Penetrasyon Testi

Web Uygulama Penetrasyon Testleri

Mobil Uygulama Penetrasyon Testleri

Kritik Altyapı Sistemleri Penetrasyon Testleri

DDoS ve Yük Testi

Kablosuz Ağ Penetrasyon Testi

• VoIP Altyapısı Penetrasyon Testi

• Sosyal Mühendislik Penetrasyon Testi

Penetrasyon Testi (Pentest) Metodolojileri

Penetrasyon testi yaparken bazı kurum ve kuruluşların paylaştığı izlenmesi gereken yollar bulunmaktadır. Bu metodolojiler pentest uzmanları tarafından yaygın olarak kullanılmaktadır.
• OWASP (Open Web Application Security Project)

         o Web Güvenliği Test Metodolojisi

         o Mobil Uygulama Güvenliği Test Metodolojisi

         o IoT Güvenliği Test Metodolojisi

• OSSTM (The Open Source Security Testing Methodology)

• ISSAF (Information Systems Security Assessment Framework)

• NIST SP800-115

• PTES (Penetration Testing Execution Standart)

• Fedramp

Penetrasyon Testi (Pentest) Adımları

Pentest gerçekleştirilirken izlenmesi gereken temel bir yol haritası bulunmaktadır. Penetrasyon testi işlemini temel olarak 7 adımda ele alabiliriz. Bu adımlar aşağıda özetlemiştir.

1. Kapsam Belirleme
Pentest kapsamı, penetrasyon testini yapacak firma ile şirket arasında yapılan anlaşmaya göre belirlenmektedir. Testin gerçekleştirileceği kurum yetkileri ile teste tabi tutulacak sistemlerin tipi ve sayısı belirlenir.
2. Bilgi Toplama
Bu kısımda hedef hakkında bilgi toplanmaktadır. Pentest uzmanları genellikle hedef sistemler hakkında elinden geldiğince çok bilgi toplamaya çalışmaktadır. Bu aşamada temel olarak belirli yöntemler kullanılmaktadır. Bu kısımda Sosyal Medya, Shodan, Nmap, Nessus, Dig gibi araçlar kullanılarak sistemler hakkında bilgi toplanır ve OSINT yöntemleri kullanılarak da şirket çalışanları ve kurum hakkında bilgi toplanabilir.
3. Zafiyet Tarama
Bilgi güvenliğinin sağlanması için risklerin etkin şekilde tespit edilmesi ve bu riskler üzerinden oluşabilecek zafiyetlerin tespit edilmesi önemli bir adımdır. Zafiyet tarama sistem üzerinde bulunan açıkları tespit etme kısmıdır. Bu kısımda çalışan servislerin yanlış yapılandırılması ya da güvenli olmayan uygulamalar üzerinde bulunan zafiyetler örnek verilebilir. Bu kısımda Nmap, Sqlmap, Nikto tarzı araçlar kullanılmaktadır.
4. İstismar Etme
Bu kısımda pentest öncesinde topladığımız bilgiler ve bulunan zafiyetler kullanılarak sistem üzerinde bir yetki elde edilmeye çalışılmaktadır. Amaç sistemler üzerinde bulunan güvenlik duvarı, saldırı tespit ve engelleme sistemleri gibi önlemleri atlatarak sistem üzerinde bulunan kaynaklara erişim sağlamaktır.
5. Yetki Yükseltme
Yetki yükseltme aşamasında amaç ele geçirilen bir sistem üzerinde elde edilen kullanıcıdan daha yetkili bir kullanıcı hesabını ele geçirmektir. Bu adımda hedef sistem üzerinde çalışan uygulamalar, çekirdek sürümü ya da kullanıcı parola özetleri (Password hash) tespit etme gibi birçok yöntem uygulanmaktadır.
6. Diğer Ağlara Sızma
Bu aşamada bir kullanıcıya erişim sağladıktan sonra ağ üzerindeki diğer kullanıcıların hesapları ele geçirilmeye çalışılmaktadır. Bu süreçte ağı dinlemeye yönelik testler ve kullanıcıların oturum bilgilerinin tutulduğu belirli veri tabanları üzerinde okuma işlemi yapılarak diğer kullanıcılar ele geçirilmeye çalışılır.
7. Raporlama
Raporlama penetrasyon testinin (pentest in) son ve en önemli aşamasıdır. Bu aşamada pentest esnasında bulunan açıklıklar ve çözüm önerileri, açıklıkların olası etkileri, açıklığın nasıl ele geçirilebileceği, açıklıkların dağılım grafikleri, uygulanan saldırı yöntemleri gibi detaylar hizmeti alan kuruma sunulmaktadır.

Kaynak.  
btyon

--------


--
---
akblog.net

6 yorum

  1. Eva
    Eva 21 Haziran 2021 20:09

    Penetrasyon testini gerçekleştiren kişi ya da kişiler bulduğu açıklıkları raporlayarak gerçek saldırganlardan önce firmanın bu açıklıklardan haberdar olması sağlanmaktadır. Bu sayede şirketler sistemleri üzerinde açık bulunan kısımlardan haberdar olmuş olur ve bu kısımlarda bulunan güvenlik açıklıklarını kapatırlar.

  2. Rasim Tahsin EROĞLU
    Rasim Tahsin EROĞLU 23 Ekim 2022 01:52

    The amazing. Wonderful document.

    • Zara AK
      Zara AK 19 Ocak 2023 14:24

      Thank for comment.

  3. Siber Güvenlik Eğitimleri.
    Siber Güvenlik Eğitimleri. 19 Aralık 2022 18:56

    Siber ağ adli bilişim eğitimlerimiz için iletişime geçebilirsiniz.

  4. Adsız
    Adsız 3 Mayıs 2023 13:04

    Güzel içerik olmuş. Ellerinize sağlık.

Destekleyen Kuruluşlar

Haber | Haber | Haber | Haber | Haber | SEO |
Whatsapp üzerinden iletişim kur