Penetrasyon - Sızma Testi (Pentest) Nedir?
Penetrasyon testi, kurum ve kuruluşların verilerin gizliliğini ve bütünlüğünü korumak için, sistemlerinde olası zafiyetleri bulmak, kurum ve kuruluşların kullanmakta oldukları yazılım ve donanımlarına, IT/OT güvenliği alanında uzman kişiler tarafından yapılan bilinçli ataklara denir. Penetrasyon, Türkçe'de "duhul etme, içine girme" anlamına gelir ve fransızca pénétration sözcüğünden alıntıdır. Tıpta ise virüsün hücre içerisine girmesi anlamına gelir.
Sızma Testinin Amacı Nedir?
Kurum ve kuruluşların dijital ortamda gerçekleşmesi istenmeyen olayların yani ağ trafiğinin izlenmesi, kurum ağına sızmak, kurum ve kuruluşların web ve Email hizmetlerinin izinsiz kullanılmasını önlemek , çalışan personellere yapılan sosyal mühendislik(oltalama) ile kurum personellerini kandırarak kurum hakkında bilgi almak , kurumlara en çok maddi ve manevi kayıp yaşatacak olan hizmet dışı bırakma saldırılarına maruz kalmalarını önlemek (DOS) gibi birçok senaryonun gerçekleşmesini önlemek , çalışan sistemlerin daha güvenilir olmasını sağlamak için yapılır. Asıl amaç bu sistemlerde olası zafiyetleri gerçek bir saldırıdan önce bularak kötü niyetli kişilerin yetkili erişimler elde etmeyi önlenmesidir.
Penetrasyon/Sızma Testinde Ne Gibi Testler Gerçekleştirilir?
Penetrasyon testleri; ağ sızma testi, web uygulama sızma testi, mobil sızma testi, network
sızma testi, DOS/ DDoS testi, sosyal mühendislik sızma testi gibi çeşitli kategorilerde yapılır.
Örneğin sosyal mühendislik yani oltalama testinde şu aşamalar gerçekleşir;
- Kurumda kritik kişi ve departmanlar öncelikli belirlenir,
- Kandırmanın yapılacağı web sitesi veya portal imitasyonu yapılır,
- Yapılacak Olan sosyal mühendislik türü seçilir,
- Mail yoluyla kurban makina hakkında bilgi alınır, - Hedef kişinin mail adresine, indirmesi gerektiğini düşündüren bir kötü amaçlı yazılım aktarılmaya veya kritik kullanıcı bilgilerinin edinilmesi sağlanmaya çalışılır,
Ve son olarak hedef sisteme sızılır veya sızılabilmesi için gerekli hesap bilgileri edinilir.
Her geçen gün giderek artan saldırı ve sızma hikayelerinin ne yazık ki en büyük zayıf halkası gene insan olmaktadır. Tabi ki sistemlerdeki arka kapılar ve gözden kaçan zafiyetlerde kişi ve kurumlara çok büyük sorunlar doğurmaktadır. ElfaNET olarak bünyemizdeki etik hacker grubumuz ile kuruluşlarınızın penetrasyon testini gizlilik sözleşmesiyle 3. Şahıslara ulaşmayacak şekilde gerçekleştiriyor, raporluyor ve yalnızca kurum ilgili kişisinin göreceği şekilde iletiyoruz. Ülkemizin önde gelen kamu ve özel sektör kuruluşlarında gerçekleştirdiğimiz bu hizmetlerde, lisanslı toollar ile deneyimli bir ekip ile hizmet vermekteyiz.