Pentester Kimdir, Ne Yapar ?
Pentester için kısa bir tanımlama yapmak gerekirse, herhangi bir ağ sistemi veya sistemde bulunan güvenlik açıklarını tanımlayan kişilerdir. Genellikle bir şirket tarafından IT güvenlik departmanlarında güvenlik denetimi yapmak ve olası güvenlik risklerini belirleme konusunda yetkilendirilen danışmanlardır.
Pentester olarak bahsettiğimiz kişiler müşterileri doğrultusunda hedef sistemde keşifler gerçekleştirerek potansiyel güvenlik açıklarını aramaya başlarlar. Buldukları güvenlik açıklarından sistemlere sızarak kritik verilere erişebilirler.
Dijitalleşen dünyamızda Pentesterlar daha fazla önem kazanmaktadır. Bu durumun nedeni ise bir çok platform da milyarlarca insanın verileri bulunmaktadır ve bu verileri kötü niyetli kişiler tarafından korumak zorundadırlar. Şirketler artık siber güvenliğe daha çok zaman ve kaynak ayırmaları gerekmektedir.
Şirketlerde siber güvenliğin daha fazla gelişmesi adına Pentesterlar IT yöneticilerinin ve teknoloji yetkililerinin güvenlik bütçelerine ayrılan miktarın arttırılması konusunda ikna etmeleri gerekmektedir çünkü hala güvenliği temel bir gereklilik olarak kabul edilmediği, tamamlayıcı bir özellik olduğu bir dünyada yaşıyoruz.
Bir sistemde birden fazla güvenlik açığı olabilir. Şirketin pentester için vermiş olduğu serbestlik seviyesine bağlı olarak taranan ve sömürülecek olan güvenlik açıkları farklılık gösterebilir. Müşteri tarafından getirilen herhangi bir sınırlama yok ise bir pentesterın herhangi bir güvenlik açığı üzerinde çalışma özgürlüğü bulunmaktadır.
Genel olarak, pentesterlar müşterinin belirlediği sınırlar dahilinde çalışmak zorundadır. Müşteriden gelen istekler doğrultusunda bir kötü niyetli bilgisayar korsanının kullanabileceği her türlü kaynağı kullanmakta özgürdürler. Sosyal mühendislik saldırıları veya fiziksel olarak şirket içi saldırıları bunlara dahildir örneğin çalışanlara kimlik avı e-postaları göndermek, telefondan iletişim kurmak, kötü ikiz yaratmak adına şirkete ulaşmak gibi bir çok teknik de kullanılabilir olacaktır.
Pentesterların yaptıkları işleri bir sıraya koyarsak; planlama, keşif, saldırı, raporlama olacaktır.
Planlama: Müşteriden gelen doğrultulara göre işin kapsamı ve nelerin yapılıp yapılamayacağının kararı verilir.
Keşif: Pentester, hedef sistem hakkında bilgi toplama işlemini gerçekleştirmektedir. Ek olarak sistemdeki açıkları bulmak adına çalışmalar yürütmektedir.
Saldırı: Pentester, keşif sırasında bulmuş olduğu bilgiler doğrultusunda ve sistemde ki açıkları kullanarak hedef sisteme yapılabilecek bir saldırıyı simüle etmektedir.
Raporlama: İlk üç aşamadaki rapoları derler ve sistem güvenliğini oluşturmak adına nelerin gerekli olabileceği, güvenlik açıklarının neler olduğu ve bu güvenlik açıkları ile kötü niyetli kişilerin neler yapabileceği hakkında belgeleri müşteriye sunar.
Penetrasyon testi emek ve zaman gerektiren bir iştir, bu nedenle yüksek maliyetler doğuracaktır. Fakat aksi takdirde şirket için zarara yol açabilecek olan kötü niyetli kişilerin saldırılarından daha önce pentest yaptırmak da şirket için itibar ve maddi zararın korunmasına neden olacaktır.
Pentester için kısa bir tanımlama yapmak gerekirse, herhangi bir ağ sistemi veya sistemde bulunan güvenlik açıklarını tanımlayan kişilerdir. Genellikle bir şirket tarafından IT güvenlik departmanlarında güvenlik denetimi yapmak ve olası güvenlik risklerini belirleme konusunda yetkilendirilen danışmanlardır.
Pentester olarak bahsettiğimiz kişiler müşterileri doğrultusunda hedef sistemde keşifler gerçekleştirerek potansiyel güvenlik açıklarını aramaya başlarlar. Buldukları güvenlik açıklarından sistemlere sızarak kritik verilere erişebilirler.
Dijitalleşen dünyamızda Pentesterlar daha fazla önem kazanmaktadır. Bu durumun nedeni ise bir çok platform da milyarlarca insanın verileri bulunmaktadır ve bu verileri kötü niyetli kişiler tarafından korumak zorundadırlar. Şirketler artık siber güvenliğe daha çok zaman ve kaynak ayırmaları gerekmektedir.
Şirketlerde siber güvenliğin daha fazla gelişmesi adına Pentesterlar IT yöneticilerinin ve teknoloji yetkililerinin güvenlik bütçelerine ayrılan miktarın arttırılması konusunda ikna etmeleri gerekmektedir çünkü hala güvenliği temel bir gereklilik olarak kabul edilmediği, tamamlayıcı bir özellik olduğu bir dünyada yaşıyoruz.
Bir sistemde birden fazla güvenlik açığı olabilir. Şirketin pentester için vermiş olduğu serbestlik seviyesine bağlı olarak taranan ve sömürülecek olan güvenlik açıkları farklılık gösterebilir. Müşteri tarafından getirilen herhangi bir sınırlama yok ise bir pentesterın herhangi bir güvenlik açığı üzerinde çalışma özgürlüğü bulunmaktadır.
Genel olarak, pentesterlar müşterinin belirlediği sınırlar dahilinde çalışmak zorundadır. Müşteriden gelen istekler doğrultusunda bir kötü niyetli bilgisayar korsanının kullanabileceği her türlü kaynağı kullanmakta özgürdürler. Sosyal mühendislik saldırıları veya fiziksel olarak şirket içi saldırıları bunlara dahildir örneğin çalışanlara kimlik avı e-postaları göndermek, telefondan iletişim kurmak, kötü ikiz yaratmak adına şirkete ulaşmak gibi bir çok teknik de kullanılabilir olacaktır.
Pentesterların yaptıkları işleri bir sıraya koyarsak; planlama, keşif, saldırı, raporlama olacaktır.
Planlama: Müşteriden gelen doğrultulara göre işin kapsamı ve nelerin yapılıp yapılamayacağının kararı verilir.
Keşif: Pentester, hedef sistem hakkında bilgi toplama işlemini gerçekleştirmektedir. Ek olarak sistemdeki açıkları bulmak adına çalışmalar yürütmektedir.
Saldırı: Pentester, keşif sırasında bulmuş olduğu bilgiler doğrultusunda ve sistemde ki açıkları kullanarak hedef sisteme yapılabilecek bir saldırıyı simüle etmektedir.
Raporlama: İlk üç aşamadaki rapoları derler ve sistem güvenliğini oluşturmak adına nelerin gerekli olabileceği, güvenlik açıklarının neler olduğu ve bu güvenlik açıkları ile kötü niyetli kişilerin neler yapabileceği hakkında belgeleri müşteriye sunar.
Penetrasyon testi emek ve zaman gerektiren bir iştir, bu nedenle yüksek maliyetler doğuracaktır. Fakat aksi takdirde şirket için zarara yol açabilecek olan kötü niyetli kişilerin saldırılarından daha önce pentest yaptırmak da şirket için itibar ve maddi zararın korunmasına neden olacaktır.
