Penetrasyon Çözümleri

 Siz ne kadar güvenliğinize dikkat ederseniz edin saldırganların, sistemi istismar etmek için kullanacağı tekniklerin sınırı yoktur. Her şirketin güvenlik tehditlerine karşı Penetrasyon Çözümleri ile denetime ihtiyacı var.

Penetrasyon, sızma ya da pentest olarak da ifade edilir. Pentest, hedef gözetilen sistemlere saldırgan bakış açısıyla yaklaşarak teknik olarak muhtemel tüm yöntemlerin denenip sızılması ve sistemlerin ele geçirilmesi işlemidir. Sızma Testi kapsamında tehditlerin, boşlukların meydana getirebileceği zararların, saldırganların ulaşabilecekleri noktaların tespiti yapılarak sistem tam bir denetimden geçirilir. Güvenlik boşluklarının tespit edilip bu boşluklarla sisteme girmeye çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir.

 

Neden Penetrasyon Testi Yapmalıyız?

Şirketlerin güvenlik önlemleri kapsamında penetrasyon testi yaptırmaları gerektiren 10 koşulu şu şekilde sıralayabiliriz;

 

  • Kurumun güvenlik protokollerinin ve kontrollerinin etkinliğini test etmek ve denetlemek
  • Muhtemel saldırılara karşı boşluk ve zafiyet taramasını içeriden ve dışarıdan detaylarıyla uygulamak,
  • Veri toplayan denetleme ekiplerine standartlara uyumlu data sağlamak,
  • Kurumun tüm güvenlik kapasitesi hakkında detaylı inceleme yaparak denetim maliyetini düşürmek,
  • Penetrasyon Çözümleri ile belirlenen açıklıklara uygun düzenlemelerin uygulanmasını sistematik hale getirmek,
  • Network ve sistemde yer alan tehdit ve riskleri tespit etmek,
  • Firewall, yönlendirici ve web sunucuları gibi network güvenlik aygıtlarının etkinliğini test etmek,
  • Olası saldırı, sızma girişimlerine karşı alınabilecek eylemleri belirleyen detaylı bir planlama yapmak,
  • Mevcut alt yapıda herhangi bir değişiklik ya da güncelleme gereksinimlerinin belirlenmesi.        

 

Penetrasyon Testi Metodolijisi

            Penetrasyon Çözümleri kapsamında yapılan testin bir standarda kavuşturmak için 2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) standardında sızma testleri 7 ana başlıkta toparlayabiliriz:

  • Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak metot ve araçların belirtilmesi; testin ne kadar süreceği, nelerin test edileceği ve sistemde belirtilmeyen durumlar için ek hizmetin sunulması,

  • Bilgi toplama (Intelligence Gathering): Testi yapılacak kurum hakkında stratejik bir eylem planı oluşturmak amacıyla kurumun giriş noktaları hakkında bilgi toplanması,

  • Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımlanıp kategorize edilmesi gerekir. Kategorize işlemleriyle kurumun mevcut alt yapısı ve buna karşı saldırganları merkeze alan paradigma oluşturulması,

  • Zafiyet Analizi (Vulnerability Analysis): Saldırganların alt yapıda kendi lehine yararlanmasına neden olacak sistem ve uygulama zafiyetlerini belirlemek,

  • İstismar (Exploitation): Güvenlik kısıtlamalarını geçerek sisteme ve referansa erişim sağlayarak kurumun ana giriş noktasını bulmak ve kıymetli varlıkları tespit etmek,

  • İstismar sonrası (Post Exploitation): Tespit edilen cihazların değerinin belirlenmesi ve diğer bağlantılı aygıtlarla etkileşim kurarak hedeflere ulaşmak ve kontrolü ele geçirmek,

  • Raporlama (Reporting): Raporda testle ilgili tüm teknik ayrıntılara, varlıklara ve bileşenlere yer verilmesi gerekir. Tüm veriler, saldırı tekniği, kullanılan metotlar, etki ve tehlike derecesi ile iyileştirme tavsiyelerini içermelidir.

Teknolojinin hızla geliştiği ve erişim kontrolüne olan ihtiyacın kuvvetle hissedildiği günümüzde Lotus Bilgi Teknolojileri kurumların ihtiyacı olan denetim yollarını çözümleyerek en uygun Penetrasyon Çözümlerini sunuyor. İhlalleri, sızmaları ve yetkisi olmayan erişim tiplerini tespit ve analiz edilebilmesi adına kaydetmek, denetim ve takibini sağlamak gibi birçok yapılması gereken koşulların sistematik bir şekilde Lotus Bilgi Teknolojileri’nin uzman ekibi sayesinde gerçekleştirebilirsiniz.