Menü Kapat

5 Temel Penetrasyon Testi Türü

penetrasyon-testi

Sisteminizdeki güvenlik açıklarını ortaya çıkarmak için resmi bir penetrasyon testi yapmayı düşünüyorsunuz, ancak nereden başlamalısınız? “Penetrasyon Testi Nedir?” diye ararken, aslında birden fazla penetrasyon testi türü olduğunu keşfedersiniz ve aniden bir karışıklık sorusu soran jargon ormanında kaybolursunuz:

“Harici ve dahili penetrasyon testi arasındaki fark nedir? Hangisine ihtiyacınız var? Sosyal mühendislik nasıl devreye giriyor? Gerçekten buna ihtiyacım var mı? En iyi seçenek hangisi? ”

Altı ana penetrasyon testi türünü keşfedelim ve işletmeniz için hangisinin en iyisi olduğunu belirleyelim:

1. Harici Penetrasyon Testi

Bu tür bir pentesting, halka açık bilgilerin mevcut zenginliğine veya dışa dönük varlıklarınıza bakar. Değerlendirme ekibi, kuruluşunuzun genel bilgilerini tararken buldukları güvenlik açıklarından yararlanmaya veya şirket e-postaları, bulut tabanlı uygulamalar ve web siteleri gibi dışa dönük varlıklar yoluyla verilere erişmeye çalışır.

Örneğin, harici bir pentester, güvenlik duvarınızı uzaktan ihlal etmeye veya sızan veri ihlallerinden, OSINT’ten, dahili olarak geliştirilen araçlardan, kredi bürolarından vb. Toplanan genel ve özel verileri bir şifreyi kırmak için kullanmaya çalışabilir. Bunlar kötü niyetli bir hacker’ın sömürmeye çalışabileceği saldırı yüzeyleridir.

2. Dahili Penetrasyon Testi

Kapak tarafında, bazı pentesterlar ayrıca iç güvenlik açıklarını arayacaktır. Bu simülasyon altında, bir pentester kötü niyetli bir “içeriden” veya iç ağa belirli bir yasal erişim seviyesine sahip kötü niyetli bir çalışanın rolünü üstlenir.

Bu senaryolar, bir personelin içeriden bir saldırıya girişmesi gibi kaba bir çalışan, yüklenici veya siber suçluların maskelenmesi durumunda ne olabileceğini rol oynamaktadır. Pentesters, gizli bilgilerin isteksizce ifşa edilmesinin, değiştirilmesinin, yanlış kullanılmasının veya imha edilmesinin etkisine bakar. Daha sonra, bu verileri çalışanlar üzerinde sistem erişim ayrıcalıklarında iyileştirmeler, yanlış yama yönetimi, segmentasyon çok az veya hiç yok, savunmasız uygulamalar, protokol kötüye kullanımı (LLMNR ve NBT-NS) gibi daha iyi kontroller önermek için kullanırlar.

3. Sosyal Mühendislik

Bu tür sızma testleri, personelinizin gizli bilgileri ifşa etmeye ne kadar duyarlı olduğunu değerlendirir. Sosyal mühendislik, genellikle özel verileri paylaşmalarını kandırmak veya verileri maskelenmiş kötü niyetli bir aktöre maruz bırakan bir eylem gerçekleştirmek suretiyle bir çalışanın güvenini kazanma girişimini içerir.

Kimlik avı e-postaları, bir sosyal mühendislik ürününün en iyi örneğidir. Bir bilgisayar korsanı yönetici olarak (çok benzer bir e-posta adresi kullanarak) poz verebilir ve bir çalışandan acil olarak bir giriş paylaşmasını veya para aktarmasını isteyebilir. Beyaz şapka penetrasyon test cihazları, daha derinlemesine çalışan güvenlik eğitimi ve yönetimine duyulan ihtiyacı ortaya çıkarmak için personelinizi korumalı bilgileri paylaşmaya çalışabilir.

4. Fiziksel Penetrasyon Testi

Tüm saldırılar doğada dijital değildir. Fiziksel sızma testi, bir davetsiz misafir tarafından güvenlik kontrollerinizin fiziksel olarak ihlal edildiğini simüle eder. Değerlendiriciler, binanıza erişim elde etmek için bir teslimat personeli olarak görünebilir veya gerçek yaşamdaki güvenlik açıklarının kanıtını sağlamak için tam anlamıyla ofisinize girebilirler.

Bu tür penetrasyon testi, fiziksel hırsızlığın çok ötesine bakar ve ağınıza dokunmak için bir bilgisayara USB Ninja Kablosu gibi kötü amaçlı yazılım enjekte eden bir cihazı takabilenler gibi gizli tehdit aktörlerini de göz önünde bulundurur.

5. Kara Bela Testi

Kara Bela: Tamamen bize ait olan bu penetrasyon testi web sitelerine yöneliktir ve en iyi sonucu her zaman bu test ile alırsınız. Test o kadar güçlüdür ki bazı web siteleri açık tarama işlemini kaldıramayabilir ve hata verebilir. Eğer web sitenizin sınırlarını zorlamak ve anlamak istiyorsanız. Kara Bela testi tam size göre.

Penetrasyon Testi Sonuçlarınız

• Güvenli ve kontrollü bir ortamda yapılan simüle siber saldırıların gerçek dünya sonuçları.

• Mevcut sisteminizi güçlendirmek ve güvenlik zihniyetinizi değiştirmek için özel öneriler.

• Güvenlik ekibinize ve diğer çalışanlarınıza ayrıntılı bilgi ve güvenlik eğitimi.

Penetrasyon (Sızma) Testi Nedir? 🔊👂 Penetrasyon (Sızma) Testi Pen-test olarak da bilinen bir penetrasyon testi (sızma testi), bilgisayar sisteminize karşı sömürülebilir güvenlik açıklarını denetlemek için…
Penetrasyon Testi 2020’de Neden Daha Önemli? 🔊👂 2020 yılı, sadece Türkiye için değil, tüm dünyada işletmeler için eşi görülmemiş bir yıl oldu. Büyük ve küçük…
Sızma testi raporuna neyin dahil olduğunu daha iyi anlayarak, güvenlik duruşunuzu iyileştirmek için temel çıkarımlarını uygulayabilirsiniz.