Penetrasyon Testleri
Penetrasyon Testleri
Penetrasyon testi yanısıra zafiyet analizi vardır, Bu birbirine karıştırılmaması gereken bir konudur. Penetrasyon testinde sızma girişiminde bulunulur.
Pnetrasyon Test Methodolojileri Nelerdir
Pci, isaca, osstmm check owasp pmiın var.
Penetrasyon Testleri Neden Yapılır ?
- ISO 27001 zorunlu kılar. PCI ve HIPAA vb standartlarda ..
- Bilinçli bir zihniyetten dolayı.
Yılda iki defa yapılması onerilir. Bu testlerin farklı firmalar tarafindan yapılması da önerilir. Bilginin bütünlüğünü sağlamak açısından önemlidir.
DOS . DDIS testleri eklenebilir penetrasyon testinin içerisine firmanın talebine göre.
Testi üslenecek firma ve fimadaki testi yapan kişi her zaman çok önemlidir.
- Uzmanlık alanları
- Netwok pentest
- database pentest
- web app pentest
- wireless pentest
- 3g pentest
- voip pentest
Test türleri
- White box şirket içinden yapılan penetrasyon testleri.
- Black box Teşirket dışından yapılan testlerdir
- Gray box 10 yıllık finans muduru ayrılıyor orneginde ki gbi , penetrasyon test uzmanı ile çalışıp , ayrılan kişinin hangi kaynak ve bilgilere erişebileceği çıkartabilinir..
Test Sonrası testi yapan uzman 3 farklı rapor sunar . Teknik rapor, yönetici raporu, ust yonetim raporudur.
Ust Yonetim Raporu , risk matriksi , yonetici ozeti , istatistikler, zafiyet risk standartları
Yonetim Raporu: uyumluluk oranları , test methodolojileri oneriler
Teknik Guvenlik Sorunları, zafiyetler, exploit haritasi zafiyet haritası conf onerileri iyileştirme onerileri
Test sonucu iyileştirme çalışmaları.
Yaplan testten bir süre sonra doğrulama testleri yapılır.
Hukuki Durum
Güvenlik testini yapacak firma ile yaptırılacak fima arasında imzalanacak söyleşmede:
Test edilecek kaynaklar , dışarda tutulacak kaynaklar, kritik iş uygulamaları, gizlilik ilkeleri tazminat bölümleri olmalı.
Gizlilik sözleşmesi ve kapsam belirlenmeli ve taahhut edilmelidir. Sözleşme yapılmaz ise pentest yapan şirket bilişim suçlusu durumuna girebilir.
Veri koruma sözleşmesinin de yapılması lazım , gizlilik sözleşmesi haricinde. Şirketin verilerinin korunacağına dair.
Pentest ortam ve yazılımları
Backtrack (distro)
Samurai (web application distro)
Nmap, nessus, hping, metasploit, w3af, inguma, canvas, core impact, saint, nexpose