Page 20 - KobiEfor Dijital Eylül 2022
P. 20

3(1(75$6<21  6,=0$  7(67à



                                            Fiziksel Sızma Testi nedir?      Sızma Testi aşamaları
                                            Sızma testi, herhangi bir bilişim
                                          sisteminin saldırgan bakış açısı ile
                                                                             Keşif, tarama, erişim kazan-
                                          zafiyet tespitinin yapılmasının ar-
                                                                           mak, erişimi sürdürmek ve izleri
                                          dından sisteme tam erişimin he-  temizlemek  veya  Planlama ve
                                          deflenmesiyle testlerin gerçekleş-  Hazırlık, Uygulama ve Raporla-
                                          tirilmesi ve durumun analiz edilip   ma olmak üzere 3 temel adıma
                                          raporlanması işlemidir.          sahip Penetrasyon (Sızma) Testi
            2) WhiteBox Pentest (Beyaz Kutu                                aşamaları şöyle özetleniyor:
         Penetrasyon Testi): Beyaz kutu pe-  Web Uygulama Sızma              1) Kapsam Belirlenmesi: Müş-
         netrasyon testi networkteki tüm sis-  Testi nedir?                teri, testin yapılmasını istediği he-
         temlerden bilgi sahibi olarak yapılan   Pentest (Sızma Testi) ana hatları   defi / kapsamı belirler.
         sızma testi türüdür. Çalışanlardan   ile hedeflenen sistem ve uygula-  2) Bilgi Toplama.
         birinin dışarıdan ya da içerden net-  maların varlığının tespiti, analizi ve   3) Güvenlik Açığı Tespiti.
         worke girmeye ve zarar vermeye ça-  açıklık barındırıp barındırmadıkla-  4) Bilgilerin Analizi ve Plan-
         lışmasının saldırı simülasyonudur.  rının değerlendirilmesi sonrasında   lama.
            3) GreyBox Pentest (Gri Kutu   istismar (exploit) edilerek sistem ve   5) Sömürü Aşaması.
         Penetrasyon Testi): Gri kutu penet-  verilere yetkisiz erişim sağlanması   6) Yetki Yükseltme / Sömürü
         rasyon testi iç networkte bulunan   şeklinde uygulanır.           Sonrası Aşama.
         yetkisiz bir kullanıcının sistemle-                                 7) Temizlik.
         re verebileceği zararın analiz edil-  KVKK Sızma Testi nedir?       8) Raporlama.
         mesini sağlar. Veri çalınması, yetki   Test edilen sistemlerdeki bilgisa-
         yükseltme ve network paket kayde-  yarlar, sunucular, güvenlik duvarları,   worke Sızma Testleri. Dışarıya
         dicilerine karşı network zayıflıkları   ağ ekipmanları ve uygulamaların si-  Açık Sistemlerin DOS Saldırıları-
         denetlenir. Genelde kurumlara gelen   ber güvenlik etkinliklerini değerlen-  na Karşı Testleri. Web Yazılımla-
         zararın % 60 oranında çalışanların-  dirmek için yetkilendirilen etik hac-  rının Testleri.
         dan geldiği düşünülür ise en önemli   kerlar tarafından yapılan bir saldırı   2) İç Ağ Güvenlik Testleri:  Net-
         sızma testi türü olarak görülür.   türüdür.                      workteki Sistemlerin Tespit Edilme-
                                                                          si. Zayıflık Taraması. IDS, IPS, Güven-
            İç Sızma Testi nedir?           OSSTMM nedir?                 lik Duvarı, İçerik Filtreleme&Benzer
            Yerel ağ sızma testi, kuruluşun   OSSTMM (The Open Source Se-  Güvenlik Uygulamalarının Test Edil-
         dahili ağına bağlı cihazlarla potan-  curity Testing Methodology Manual)   mesi. Kurum Güvenlik Politikaları
         siyel bir saldırganın nelere erişe-  açık kaynak bir güvenlik testi me-  Dahilinde İnternet Erişimlerinin Gü-
         bileceğinin tespit edilmesini ve bu   todolojisidir. Operasyonel güvenlik   venliğinin Kontrolü. Anti Virüs&Anti
         güvenlik açıklarının önlenmesini   anlamında önemli ölçüde güvenlik   Spam Yazılımlarının Kontrolü.
         sağlamak için tasarlanmış bir dizi   seviyesini artıracak eyleme geçiri-  Network Dinleme&Şifre Güven-
         karmaşık saldırı tekniğidir.     lebilir bilgiler sunar.         liği Testleri. Şifre Politikası Kontrol-
                                                                          leri. Ekran Kilitlenme İlkesi Kont-
            Ağ Sızma Testi nedir?           Sızma Testi çeşitleri         rolleri. Son Kullanıcı Testleri. Dosya
            Ana hatları ile hedeflenen sistem   1) Dış Ağ Güvenlik Testleri:  Erişim&Kontrolleri. Veri Tabanı Su-
         ve uygulamaların varlığının tespiti,   DNS (DNS Sunucusunun belir-  nucu Testleri.
                                                                            3)Web Uygulama Güvenlik Test-
         analizi ve açıklık barındırıp barındır-  lenmesi. Zone Transferi Testle-  leri: Sızma Testi Operasyonel Süreç:
         madıklarının değerlendirilmesi son-  ri. DNS Bruteforce ile kayıtla-  Hedef Tanımlama ve Analiz Teknik-
         rasında istismar (exploit) edilerek   rın okunması. DNS Subdomain   leri. Hedef Güvenlik Açığı Doğrula-
         sistem ve verilere yetkisiz erişim   Tespiti. DNS Cache Zehirleme   ma Teknikleri. Güvenlik Değerlen-
         sağlanması şeklinde uygulanır.   Testleri). Kurum IP Bloklarının   dirme Planlaması.
                                          Tespiti. Kurum Whois Bilgisi Tes-
                                          piti. E-Posta Testleri. İnternete
                                          Açık Sistemlerin Haritalanması.
                                          Kurum Çalışanlarının Tespiti.
                                          Kurum Web Sitesi Bilgi Topla-
                                          ma. Fiziksel Güvenlik Testleri
                                          (Sunucu Odası, Çalışma Alanları,
                                          Network Altyapısı). Sosyal Mü-
                                          hendislik Testleri. Kablosuz Net-

         20 KobiEfor Dijital (\OÖO
   15   16   17   18   19   20   21   22   23   24   25