GÜVENLİK TESTİ

Bu cevabı penetrasyon testleri yaparak alabilirsiniz.

Penetrasyon testi ve saldırı arasındaki en buyuk fark yetkidir. Bir saldırgan yetkisiz bir şekilde sisteminize saldırı yaparken, penetrasyon testlerinde öncelikle sistem sahibinden yetki alınır.  penetrasyon testleri sizin risk azaltma stratejiniz için çok önemlidir. Taramak penetrasyon testi değildir. Eğer bu iki kavram arasında kafanız karışıyorsa merak etmeyin, yalnız değilsiniz. İki kavram bağdaşır fakat penetrasyon testlerinde sistemden alınabilecek yetkilerin hepsi alınır,  tarama da ise sadece açıklar bulunur fakat exploit edilmez – sömürülmez. Penetrasyon testleri genelde manuel olarak ve ya otomasyon programları kullanılarak yapılır. Bu sayede, sunucularınız, web siteleriniz, wireless ağlarınız, ağa bağlı her cihaz, telefonlar ele geçirilebilir ve ya önemli bilgiler sızdırılabilir. Genelde Penetrasyon Testi denince akla ilk gelen bir firewall geçmek gibi basit bir şeydir, fakat penetrasyon testleri bundan çok daha öteye gider. Modern penetrasyon testleri  uygulamalarında saldırganın içeri girdiğinde nasıl bir hasar yaratabileceğide ortaya çıkarılır. Bulunan açıklar birbirinden farklıdır ve farklı görevler görebilir. Bu nedenle, başarılı bir penetrasyon testi için her türlü saldırı senaryosu göz önünde bulundurulmalıdır.

SIKÇA PENETRASYON TESTLERİ YAPIN 

Belli zaman aralıklarıyla penetrasyon testleri yapmak çok önemlidir. Bu bir doktora gidip check up yapmaya benzer. Penetrasyon testlerinin sıklıkla ve güncel yapılması size karşı olan riskleri düşürür.

Düzenli olarak check up dışında, aşağıdaki faktörlerden herhangi biri değiştiğinde de penetrasyon testleri yapmakta fayda vardır.

* Sisteme yeni uygulama eklendiğinde,

* Sistem güncellenip modifiye edildiğinde,

* Şirketinizin yeni şubeleri açıldığında,

* Kurallar değiştiğinde,

* Kullandığınız program ve ya sistem güncellendiğinde,

penetrasyon testleri sayesinde, en önemli ve potansiyel zararı yüksek olan açıklar tespit edilir ve false positiveler  (açık olmayan sistem yanlışları) elenir. Bu sayede hangi açığa ve sistemin neresine odaklancağınızı daha iyi tespit edersiniz. Sisteminiz up-time zamanını maksimum seviyede tutamamak sizi iş partnerlerinize karşı ve müşterilerinize karşı kötü duruma düşürür. Bu durum aynı zamanda çalışanlarınızın da verimli bir şekilde işlemesini engeller. Penetrasyon testleri sizi bu tip durumlar için önceliğinizi aldırarak riskinizi azaltır.

Penetrasyon testi sizi Ödeme Kartları (PCI DSS) Endüstrisi Veri Güvenliği standartlarına karşı uygun kılar. Bu standartlar oldukça önemlidir ve kullanıcı bilgilerini güvenli kılar.

Güvenilir şirket ve Müşteri memnuniyeti açısından ufak bir veri sızdırılması bile şirketinizin reputasyon ve değer kaybetmesine yol açar.

Hiç bir şirket kazanılması zor olan müşterilerini kaybetmek istemez ve veri sızdırılması sizin gelecekteki iş olanaklarınızıda kısıtlar. Penetrasyon testi bu tip kargaşalardan sizi korur.

Penetrasyon Testi 6 aşamadan oluşur :

1. Planlama ve Hazırlık Yapma
2. Keşfetme
3. Penetrasyon Denemeleri
4. Analiz Etmek ve Raporlamak
5. Temizleme
6. İyileştirme / Geliştirme

1. Planlama ve Hazırlık Yapma

Penetrasyon testi bir tahmin oyunu değildir. Bilgi güvenliğinde bir süreç ve hesaplama vardır.

-Hedef belirleme ve alınacak sonuçlar, saldırı yapmadan önce, net ve objektif seçilmeli, bir IT personelinin yetkilerini çalmak gibi. Daha sonrasında penetrasyon testi hakkında kime haber verileceği ve kimlerden saklanılacağı karar verilir ve test aşaması planlanır.

-Hedef belirleme, objektif seçildikten sonra, hedef belirlenmeli. Makineler, çalışanlar, ele geçirilecek network belirlenmelidir. Penetrasyon testine başlamadan önce nasıl bir yol seçileceği ve ne tür ataklar yapılacağı karar verilmelidir. IT çalışanlarıyla plan yapılmalıdır.

2. Keşfetme 

Rahat ele geçirilebilecek verileri toplamak. Bu aşamada, saldırgan hedefi hakkında olabildiğince bilgi toplamaya çalışır. Bu bilgileri toplamanın bir çok yolu vardır.

Ağ Keşifi : Gizli olan sistemleri, makineleri ve sunucuları bulmak

Host Keşifi : Açık ve Kapalı olan portları taramak

Servis Sorgulama : Açık olan portlarda hangi servislerin calıştığını belirlemek.

Bir penetrasyon testi genelde açık bulmak için otomasyon (built-in) programları kullanır. Daha etkili saldırı için, bu tip toollar (araçlar) genelde saldırganda son versiyonlu ve tüm özellikleri ekli bir şekilde bulunmalıdır. Genelde bu toolların kendilerine ait veri tabanları bulunur. Bu veri tabanlarında ise son bulunan açıklara dair bilgi bulunur. Toolla yapılan taramalarda bir çok bilgi edinebilir. Bu bilgilerin bazıları öncelikli, bazıları ise önemsiz konumdadır. Bunları birbirinden iyi ayırmak gerekir. Bu sizin daha verimli bir şekilde tarama yapmanızı sağlayacaktır.

3. Penetrasyon

Bir açığın olduğunu bilmek onu exploit edebilmeniz anlamına gelmez. Her zaman penetrasyon yapmak mümkün değildir. Her türlü test yapılmalıdır. Açıklar exploit edildikten sonra, saldırgan sisteme farklı programlar ve exploitler yükleyip sunucu veya sistemdeki obur internal resource’ lara ulaşabilir. Bu genelde privilege escalation (yetki yükseltme) ile olur.

Penetrasyon testine sosyal mühendislikte girmektedir. Balıklama yöntemi ile çalışanların farkındalığı test edilebilir ve başka yöntemlerlede insan açıkları bulunabilir.

4. Analiz Etmek ve Raporlamak

Penetrasyon testi tamamlandıktan sonra rapor ve analiz yazılmalıdır. Rapor, penetrasyon testinin nasıl yapıldığı üzerinden geçmelidir. Bulunan açıklar göz önünde bulundurmalıdır. Rapor yazılırken, bulunan açıkların önceliği, önemliliği gibi bilgilerde göz önünde bulundurulmalıdır. Hangi açığın hangisine göre öncelikli olduğu anlatılmalıdır. Bu şirketlerin güvenlik kararları almasında yardımcı olur. Çünkü şirketler için bulunan açıkların bazılarının (low-risk) bir önemi olmayabilir. Şirketler riski yüksek olan açıklara özen gösterir.

Raporda bu tip bilgiler içermelidir:

+ Başarılı penetrasyon testinin özeti

+ Sızma sırasında toplanan bilgilerin ayrıntılı listesi

+ Bulunan güvenlik açıklarının ayrıntılı listesi

+ Bulunan tüm güvenlik açıklarının açıklaması

+ Bulunan güvenlik açıklarını gidermek için öneri ve teknikler

5. Temizleme 

Test bittikten sonra sistemi toparlama. Test yapılırken, sistemin ayarları ile ve kuralları ile oynanmış olunabilir. Saldırgan sistemde yapılanların detaylı listesine bakarak sistemi orijinal haline getirmelidir. Bu yöntemle calışanların ve şirketin işleyişi tekrar düzene sokulur. Penetrasyon testi yapılırken yapılan aksiyonların hepsinin eksiksiz yazılmış olması gerekmektedir. Eksik olan bilgiler saldırgana ve şirkete temizleme aşamasında zorluk çıkarabilir.

6. İyileştirme / Geliştirme

İyileştirme / Geliştirme çok önemlidir. Tüm test egzersizleri bittikten sonra, bu son aşamada tüm uygun olan upgradeler sistem üzerinde gerçekleştirilmelidir. Analizde ve raporda bulunan kritik bilgiler bize bu açıkların hangi hostta bulunduğunu, açığın ismini ve CVE bilgisini (CVE record) vermelidir. Bütün patchler yapıldıktan sonra, siber güvenliğini kesinlemek için analizde bulunan açıkların bir kere daha üstünden geçilmesi önemlidir.

7/24 kullanıcılar tarafından kullanılabilen web uygulamaları, gizli arka uç verilere erişmek isteyen bilgisayar korsanları için en kolay hedeftir.

Web uygulaması güvenlik testi çözümleri hazırdır, ancak çoğu donanım veya yazılıma önemli bir sermaye yatırımı gerektirir. Birçok web uygulaması test aracının kullanımı ve güncel tutulması zordur.

Bir web uygulaması güvenlik testi çözümü arayan kuruluşlar için, Güvenliktesti.com bunun cevabıdır.

Geleneksel test çözümleri genellikle zaman alıcı ve kullanımı zor olmuştur,

Güvenliktesti.com geliştirme ekiplerinin mobil uygulama güvenlik testlerini geliştirme süreci boyunca kolay ve verimli bir şekilde entegre etmelerini sağlayan bir mobil uygulama güvenlik testi çözümleri paketi sunar.

Müşterilerin, yeni nesil gelişmiş DDoS saldırı senaryolarına yanıt verme yeteneğini, gerçek hayattaki saldırı simülasyonlarını gerçekleştirerek, altyapılarına karşı yapılan DDoS saldırılarını önleme ve azaltmaya yardımcı olma yeteneğini test etmektedir.

Güvenliktesti.com Performans ve Yük Testleri Hizmeti ile kullanıcı katılımını artırmak için duyarlı ve ölçeklenebilir uygulama deneyimleri sağlayın.

Bir yük testi, tanımı gereği, bir sistemin beklenen yük altındaki performansını ölçer.

Buna karşılık, bir stres testi kırılma noktasını bulmak için bir sisteme aşırı yük bindirir.

Güvenliktesti.com Yazılım Kaynak Kod Analizi Hizmeti, uygun güvenlik kontrollerinin mevcut olduğunu, amaçlandığı şekilde çalıştığını ve doğru yerlere çağrıldıklarını doğrulayan bir uygulamanın kaynak kodunu analiz sürecidir.

Genellikle güvenli bir uygulama tasarlamanın ve uygulamanın zor bir görev olduğu bilinmektedir. Programcılar nadiren gerekli uzmanlığa veya sistem güvenliğine yatırım yapacak zamana sahip olamazlar. Sonuç olarak, uygulamaların sistemin güvenliği üzerinde ciddi etkileri olan birçok güvenlik açığı olduğu ortaya çıkmıştır. Bu tür programlama açıkları, yasal sistem kullanıcılarının veya bilgisayar korsanlarının yetkisiz işlemler yapmasını sağlayabilir.

Bu tür güvenlik açıklarından yararlanarak, ister içeride ister dışarıda olsun, kötü niyetli kişiler güvenlik ihlallerine neden olabilir ve bilgi kullanılabilirliğine, bütünlüğüne ve gizliliğine zarar verebilir. 

Güvenliktesti.com ile  Yazılım Kaynak Kod Analizi yaptığınızda, sistem kodu düzeyinde gömülü potansiyel tehditleri tespit edebilir ve bunları erken sistem geliştirme aşamalarında hafifletebilirsiniz.

Tek bir sistemi ve / veya uygulamayı test etmek yerine, Red-Blue Team etkinliği, organizasyon ağındaki en zayıf yolları test eder. Şirketin gerçek hayattaki bir siber saldırıya karşı direncini doğrulamak için en uygun maliyetli yoldur.

Bu nedenle, internet güvenliğini test etmek yüksek öncelikli olmalıdır. Çeşitli çevrimiçi internet güvenlik ürünleri etkili çözümler olarak görülebilir, ancak tek başına maalesef yeterli değildir. Uygulamalarınızı internet güvenlik açıkları için test etmek genel internet güvenlik stratejinizin bir parçası olmalıdır. 

Güvenliktesti.com, uygulamalarınızı internet güvenliği stratejisinin bir parçası olarak test etmek için uygun maliyetli ve eksiksiz bir çözüm sunar.