Sızma Testi Yürütme Standardı (PTES) bir penetrasyon testi yöntemidir. Sızma testinde eksiksiz ve güncel bir standart ihtiyacını karşılamak amacıyla bilgi güvenliği uygulayıcılarından oluşan bir ekip tarafından geliştirilmiştir. Güvenlik profesyonellerine yol göstermenin yanı sıra, işletmeleri bir sızma testinden ne beklemeleri gerektiği konusunda bilgilendirmeye ve başarılı projelerin kapsamını belirleme ve müzakere etme konusunda onlara rehberlik etmeye çalışır.
Sızma testi, kuruluşların gerçek dünyadaki saldırıları simüle ederek kendi güvenlik duruşlarını test ettiği bir süreçtir. Amaç, saldırganlar tarafından istismar edilmeden önce güvenlik açıklarını bulmak ve düzeltmektir. Sızma testini gerçekleştirmenin birçok farklı yolu vardır ve benimsenen yaklaşım genellikle kuruluşun özel ihtiyaçlarına ve hedeflerine bağlı olacaktır. Ancak penetrasyon testinde herkese uyan tek bir yaklaşım yoktur. Sızma Testi Yürütme Standardı (PTES), penetrasyon testlerini gerçekleştirmek için standartlaştırılmış bir metodolojinin ana hatlarını çizen kapsamlı bir kılavuzdur. Kapsam belirleme ve planlamadan rapor oluşturmaya kadar penetrasyon testi sürecinin her aşamasına yönelik en iyi uygulamaları içerir.
Sızma testi, kuruluşların gerçek dünyadaki saldırıları simüle ederek kendi güvenlik duruşlarını test ettiği bir süreçtir. Amaç, saldırganlar tarafından istismar edilmeden önce güvenlik açıklarını bulmak ve düzeltmektir. Sızma testini gerçekleştirmenin birçok farklı yolu vardır ve benimsenen yaklaşım genellikle kuruluşun özel ihtiyaçlarına ve hedeflerine bağlı olacaktır. Ancak penetrasyon testinde herkese uyan tek bir yaklaşım yoktur. Sızma Testi Yürütme Standardı (PTES), penetrasyon testlerini gerçekleştirmek için standartlaştırılmış bir metodolojinin ana hatlarını çizen kapsamlı bir kılavuzdur. Kapsam belirleme ve planlamadan rapor oluşturmaya kadar penetrasyon testi sürecinin her aşamasına yönelik en iyi uygulamaları içerir.
PTES Süreci
PTES, penetrasyon testini yedi ana bölümde açıklamaktadır.
1-Nişan Öncesi Etkileşimler
Bu kalem testi için hazırlık aşamasıdır. Her şey test için gereken belge onayları ve araçlarla ilgilidir.
2-İstihbarat Toplama
Bu aşamada hedef sistemle ilgili bilgiler sosyal medya siteleri, resmi kayıtlar vb. dış kaynaklardan toplanır. Bu aşama OSINT (Açık Kaynak İstihbarat) kapsamına girer.
3-Tehdit Modellemesi
Hedefleri ve güvenlik açıklarını belirleyerek ve ardından sisteme yönelik tehditleri önlemek veya etkilerini azaltmak için karşı önlemleri tanımlayarak ağ güvenliğini optimize etmeye yönelik bir prosedürdür. Tipik tava testlerinde atlanır.
4-Güvenlik Açığı Analizi
Bu aşama güvenlik açıklarını keşfeder ve doğrular. Bu, bir saldırganın sistemi veya uygulamayı istismar etmesi ve sisteme veya uygulamaya yetkili erişim elde etmesi riskidir.
5-Suistimal
Bu aşamada test uzmanı, daha önce belirlenen ve doğrulanan güvenlik açıklarını kullanarak hedef sistemin güvenliğine ulaşmaya çalışır.
6-Veri Toplama
Bu aşama, hedef sistem üzerindeki kontrolü korur ve veri toplar.
7-Raporlama
Tüm süreci müşterinin anlayabileceği bir biçimde belgelendirir. Hedef sistemin güvenliğine ilişkin raporlar
1-Nişan Öncesi Etkileşimler
Bu kalem testi için hazırlık aşamasıdır. Her şey test için gereken belge onayları ve araçlarla ilgilidir.
2-İstihbarat Toplama
Bu aşamada hedef sistemle ilgili bilgiler sosyal medya siteleri, resmi kayıtlar vb. dış kaynaklardan toplanır. Bu aşama OSINT (Açık Kaynak İstihbarat) kapsamına girer.
3-Tehdit Modellemesi
Hedefleri ve güvenlik açıklarını belirleyerek ve ardından sisteme yönelik tehditleri önlemek veya etkilerini azaltmak için karşı önlemleri tanımlayarak ağ güvenliğini optimize etmeye yönelik bir prosedürdür. Tipik tava testlerinde atlanır.
4-Güvenlik Açığı Analizi
Bu aşama güvenlik açıklarını keşfeder ve doğrular. Bu, bir saldırganın sistemi veya uygulamayı istismar etmesi ve sisteme veya uygulamaya yetkili erişim elde etmesi riskidir.
5-Suistimal
Bu aşamada test uzmanı, daha önce belirlenen ve doğrulanan güvenlik açıklarını kullanarak hedef sistemin güvenliğine ulaşmaya çalışır.
6-Veri Toplama
Bu aşama, hedef sistem üzerindeki kontrolü korur ve veri toplar.
7-Raporlama
Tüm süreci müşterinin anlayabileceği bir biçimde belgelendirir. Hedef sistemin güvenliğine ilişkin raporlar
PTES'in Amacı Nedir ?
Sızma Testi Yürütme Standardı (PTES), bir penetrasyon testi sırasında ele alınması gereken öğelerin kapsamlı bir kontrol listesidir. Gerçekleştirilmesi gereken test türlerine ilişkin üst düzey rehberliğin yanı sıra her teste ilişkin spesifik ayrıntıları içerir. PTES, test uzmanlarının takip etmesi gereken tutarlı bir çerçeve sağlar ve bu da bir penetrasyon testinin tüm yönlerinin kapsanmasını sağlamaya yardımcı olur.
PTES, test uzmanlarının kuruluşlarının ihtiyaçlarına göre bir sızma testi yürütmenin en etkili yolunu belirlemelerine yardımcı olmak için tasarlanmıştır. Bağımsız bir kontrol listesi olarak veya daha büyük bir test metodolojisinin parçası olarak kullanılabilir. Her iki durumda da, tüm temelleri karşıladığından emin olmak isteyen test uzmanları için değerli bir başlangıç noktası sağlar.
Peki neden PTES'i kullanmalısınız?
Kapsamlı bir kapsamın sağlanmasına yardımcı olur
Yöntemlerin standartlaştırılmasına yardımcı olur
Ücretsiz ve açık kaynaktır
Başarılı bir sızma testi gerçekleştirmek için kapsamın açık ve net olması önemlidir. Sızma Testi Yürütme Standardı (PTES), bir penetrasyon testinin kapsamının nasıl belirleneceği ve kapsama nelerin dahil edilmesi gerektiği konusunda rehberlik sağlar. Sızma testinin kapsamını belirlemenin ilk adımı, testin amaçlarını ve hedeflerini belirlemektir. Testle neyi başarmaya çalışıyorsunuz? Hedefleri belirledikten sonra test edilmesi gereken sistemleri ve verileri tanımlayabilirsiniz. Kapsam dışında yapılan testler hatalı sonuçlara yol açabileceğinden, yalnızca kapsam dahilindeki sistemleri ve verileri dahil etmek önemlidir.
Test edilmesi gereken sistemleri ve verileri belirledikten sonra gerçekleştirilecek test türlerini belirlemeniz gerekir. Üç ana test türü vardır: kara kutu, beyaz kutu ve gri kutu. Kara kutu testleri, test edilen sistem hakkında herhangi bir bilgi olmadan gerçekleştirilir. Beyaz kutu testleri, test edilen sistem hakkında tam bilgi sahibi olunarak gerçekleştirilir. Gri kutu testleri, test edilen sistem hakkında kısmi bilgiyle gerçekleştirilir. Yapılacak test türlerini belirledikten sonra test sırasında kullanılacak araç ve teknikleri belirlemeniz gerekir. Buna, bağlantı noktası tarayıcıları, güvenlik açığı tarayıcıları, şifre kırıcılar vb. dahildir. Kapsam dışındaki araç ve tekniklerin kullanılması hatalı sonuçlara yol açabileceğinden, yalnızca kapsam dahilindeki araç ve tekniklerin kullanılması önemlidir.