2. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
GİRİŞ............................................................................................................................................ 3
1- PENTEST NEDİR? VULNERABİLİTY ASSESSMENT VE RİSK ASSESMENT KAVRAMLARINDAN FARKI
NEDİR?......................................................................................................................................... 4
PENTEST TANIMI:.....................................................................................................................................4
PENTEST ÇEŞİTLERİ:..................................................................................................................................4
PENTEST YÖNTEMLERİ:.............................................................................................................................4
VULNERABİLİTY ASSESSMENT (ZAFİYET/AÇIKLIK TARAMA):...........................................................................5
RİSK ASSESSMENT:...................................................................................................................................5
2- NEDEN SIZMA TESTİ YAPTIRMALIYIZ?........................................................................................ 6
3- SIZMA TESTİ PROJESİNİN PLANI NASIL OLMALIDIR?................................................................... 6
4- PENTEST FİRMASI SEÇİMİ KONUSUNDA NELERE DİKKAT ETMELİYİM? ........................................ 7
5- PENTEST YAPAN FİRMADAN SONUÇ OLARAK NELER BEKLEMELİYİM? ........................................ 8
6- PENTEST SONRASI NASIL BİR YOL İZLEMELİYİM?........................................................................ 8
7- TÜRKİYE’DE PENTEST YAPAN HANGİ FİRMALAR VAR?................................................................ 8
8- PENTEST KONUSUNDA KENDİMİ GELİŞTİRMEK İÇİN İZLEMEM GEREKEN YOL HARİTASI NASIL
OLMALIDIR?................................................................................................................................. 9
9- PENTEST İÇİN HANGİ YAZILIMLAR KULLANILIR?....................................................................... 10
AÇIK KOD PENTEST YAZILIMLARI:.............................................................................................................10
TİCARİ PENTEST YAZILIMLARI:..................................................................................................................10
10- PENTEST KONUSUNDA HANGİ EĞİTİMLER VARDIR?............................................................... 10
3. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
GİRİŞ
Penetrasyon testleri (Sızma testleri) günümüz bilgi güvenliği dünyasının en popüler
konularından biridir. BGA tarafından verilen güvenlik eğitimlerinde, sızma testi hakkında
oldukça fazla soru ile karşılaşılmaktadır. Bu sorulara referans cevaplar olması adına “10
Soruda Sızma Testi” konulu yazıyı hazırlamış bulunmaktayız.
Pentest nedir? Neden yaptırmalıyım? Kime nasıl yaptırmalıyım? gibi sorulara cevap arıyoruz.
Sizin de bu konu hakkında fikirleriniz varsa yorumlarınızla zenginleştirebilirsiniz.
Öncelikle “pentest” kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte
yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani?
Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular
sormak durumunda kalabilirsiniz.
Yazı boyunca pentest, penetrasyon testi, sızma testi şeklinde farklı ifadeler kullanılmıştır.
4. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
1- Pentest nedir? Vulnerability Assessment ve Risk Assesment
kavramlarından farkı nedir?
Pentest Tanımı:
Belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu
güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri
daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak
gerçekleştirilen güvenlik testleridir. Pentest çalışmalarındaki asıl amaç, zafiyeti tespit
etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili
erişimler elde etmektir.
Pentest Çeşitleri:
Pentest hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak üçe ayrılır.
- İç Ağ (Internal) Sızma Testi:
Bu sızma testi çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere
ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.
- Dış Ağ (External) Sızma Testi:
Bu sızma testi çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere
ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.
- Web Uygulama Sızma Testi:
Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır ancak odak noktamız web
uygulamalarıdır.
Pentest Yöntemleri:
Temel olarak kabul görmüş üç yöntem vardır:
➢ Black Box:
Bu yaklaşımda, başlangıçta güvenlik testi yapılacak sistemle ilgili bir bilgi yoktur. Tamamen
bilinmeyen bir sistem ile ilgili bilgi toplanacak ve testler yapılacaktır. Bu yöntemde test
ekibinin sistem ile ilgili bilgi düzeyi hiç olmadığından, yanlışlıkla sisteme zarar verme
ihtimalleri de yüksektir. Bilgi toplama safhası oldukça zaman alır. Süre bakımından en uzun
süren yaklaşım tarzıdır.
➢ Gray Box:
Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. Örneğin; IP adres listesi, sunucu sistem ile
ilgili versiyon bilgisi vb. Bilgiler güvenlik testi yapacak ekibe önceden sağlanır. Black Box
yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan
sistemin, istem dışı zarar görme ihtimali de azalmış olur.
5. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
➢ White Box:
Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka
planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum
ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara
tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski çok azdır ve maliyet olarak da
en az maliyetli olandır.
Vulnerability Assessment (Zafiyet/Açıklık Tarama):
Zafiyet taraması bir sistemdeki muhtemel tüm açıklıkların belirlenmesine yönelik tasarlanmış
bir testtir. Bu yöntem için genellikle otomatize araçlar (Nessus, Nmap, Qualys vb) kullanılır.
Zafiyet taramasında asıl amaç taranan sistemin anlık olarak genel güvenlik görüntüsünü
almaktır. Muhtemel tüm güvenlik tehditlerine karşı bizi uyaran bu yöntem sonucu çıkan tüm
bulgular ciddi bir tehdidi göstermeyebilir. Ancak bu da ciddiye alınmaması gerektiğini
göstermez. Bizim için önemli olan çıkan bulgulardan hangilerinin sistemimiz için gerçek bir
tehdit oluşturduğuna karar vermektir.
Bu yöntemde denetlenen diğer şey ise uyumluluk süreçleridir. Firmaların HIPAA, PCI, SOX vb.
gibi dünyaca kabul edilmiş birçok uyumluluk standartlarına göre durumunu da inceler.
Risk Assessment:
Risk Assessment kavramı tamamen farklı bir kavram olup Pentest ve Vulnerability
Assessment kavramlarını kapsar. Zaman zaman “Technical Risk Assessment” tanımı
kullanılarak “Vulnerability Assessment” kavramı kastedilmektedir.
6. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
2- Neden sızma testi yaptırmalıyız?
Sahip olduğunuz bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından
kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Çünkü siz ne kadar
güvenliğe dikkat ederseniz edin saldırganların, sistemi istismar etmek için kullanacağı
tekniklerin sınırı yoktur.
Hayal gücü ve bilgi seviyelerine göre ihtimaller değişmektedir. Bir şeylerin gözünüzden
kaçma ihtimali vardır. Bu sebeplerden dolayı hackerlara yem olmadan kendi güvenliğinizi
Beyaz şapkalı hackerlara test ettirmeniz yararınıza olacaktır.
Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu kılmaktadır.
3- Sızma testi projesinin planı nasıl olmalıdır?
Yaptırılacak sızma testi çalışmasından olabildiğince çok verim alabilmek için her işte olduğu
gibi burada da plan yapılması gerekmektedir. Pentest planınızı en azından aşağıdaki soruları
cevaplayarak hazırlamanız gerçekleştirilecek testten üst düzeyde verim almanızı
sağlayacaktır.
• Sızma Testi’nin kapsamı ne olacak? (White Box, Gray Box, Black Box)
• Ne çeşit bir sızma testi istiyorum? (Internal Pentest, External Pentest, Web
Application Pentest)
• Testleri kime yaptıracağım?
• Ne kadar sıklıkla yaptıracağım?
• Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu
görmek ister miyim?
• Pentest kapsamında DDOS testleri de gerçekleştirilecek mi?
7. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
4- Pentest firması seçimi konusunda nelere dikkat etmeliyim?
Pentest yaptıracağınız firmaya ne kadar güvenirseniz güvenin - aranızda muhakkak imzalı ve
maddeleri açık bir NDA olmalı - siz yine de işinizi garantiye alma açısından firmanın yapacağı
tüm işlemleri loglamanız yararınıza olacaktır.
Peki bunu nasıl yaparsınız? Firmanın pentest yapacağı IP adres bilgilerini isteyerek bu IP
adreslerinden gelecek tüm trafiği Snort, Tcpdump vb. trafik kaydı gerçekleştirebilen bir
yazılım kullanarak loglayabilirsiniz. Özellikle web trafiğini -ki en kritik bilgiler burada
çıkacaktır. Snort ile çok rahatlıkla sonradan incelendiğinde anlaşılacak şekilde trafik
kaydettirilebilir. Bunun dışında dikkat etmeniz gereken konular şunlardır;
• Firmada test yapacak çalışanların CV’lerini isteyin.
• Varsa testi yapacak çalışanların konu ile ilgili teknik sertifikasyonlara (CEH, OSCP vb.)
sahip olmasını tercih edin.
• Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.
• Firmanın daha önceki referansları ile iletişime geçerek bunlardan birkaçına
memnuniyetlerini sorun.
• Mümkünse firma seçimi öncesinde teknik kapasiteyi belirlemek için tuzak sistemler
kurarak firmaların bu sistemlere saldırması ve sizin de bildiğiniz açıklığı bulmalarını
isteyin.
• Firmadan daha önce yaptığı testlerle ilgili örnek raporlar isteyin. Örnek bir sızma testi
raporuna bu adresten ulaşabilirsiniz. https://www.slideshare.net/bgasecurity/szma-
testleri-sonuc-raporu
• Testlerin belirli IP adreslerinden yapılmasını ve bu IP adreslerinin size bildirilmesini
talep edin.
• Firmaya test için kullandıkları standartları sorun.
• Firmanın test raporunda kullandığı tüm araçları da yazmasını isteyin.
• Pentest teklifinin diğerlerine göre çok düşük olmamasına dikkat edin.
• Sızma testi işi firmanın özel işi mi yoksa öylesine yaptığı bir iş mi? Bu sorgu size
firmanın konu hakkında yetkinliğine dair ipuçları verecektir.
8. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
5- Pentest yapan firmadan sonuç olarak neler beklemeliyim?
• Yöneticilere ve teknik çalışanlara özel iki farklı rapor
• Raporların okunabilir ve anlaşılır olması
• Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
• Pentest raporunun şifreli bir şekilde iletilmesi
• Keşfedilen güvenlik açıklarının nasıl kapatılacağı konusunda çözüm önerilerinin
sunulması
6- Pentest sonrası nasıl bir yol izlemeliyim?
Pentest yaptırmak ne kadar önemliyse, sonuçlarını değerlendirip aksiyon almak çok daha
önemlidir. Maalesef ki yaygın olarak yapılan yanlış sadece Pentest yapıp/yaptırıp raporu
incelemek ve çok acil açıkları kapatmak şeklinde oluyor. Pentest sonrası açıklıkların
kapatılmaması ve bir sonraki pentest çalışmasında aynı açıklıkların tekrar çıkması sıklıkla
karşılaşılan bir durumdur.
Gerçekleştirilen çalışmanın katma değerinin yüksek olması için en azından aşağıdaki
maddelerin uygulanması önerilmektedir:
• Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması
• Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime
sunulması (bu açıklık hackerlar tarafından değerlendirilirse şu kadar kaybımız olur vb
çıkarımlarda bulunularak)
• Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi
• Sistem yöneticileri ve yazılım geliştiricilerle toplantı gerçekleştirilip sonuçların
paylaşılması.
• Açıklıkların kapatılmasının takibi.
• Bir sonraki pentestin tarihinin belirlenmesi
7- Türkiye’de Pentest yapan hangi firmalar var?
Türkiye’ de bu alanda sektör hızla gelişmektedir. Ayrıca kurumsal firmaların yanında kişisel
olarak sızma testi yapan kişiler de bulunmaktadır. Ancak bu konuda Pentest yaptıracağınız
kişiyi net olarak tanımıyorsanız, kişi yerine bir firma tercih etmeniz güvenliğiniz açısından
daha sağlıklı olacaktır.
9. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
8- Pentest konusunda kendimi geliştirmek için izlemem gereken yol
haritası nasıl olmalıdır?
Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olması
gerekmektedir. İçinizde bilişim konularına karşı ciddi merak hissi ve sistemleri bozmaktan
korkmadan kurcalayan bir düşünce yapınızın olması yolun başında sizi ön sıraya taşıyacaktır.
Aksi halde işiniz biraz zor demektir. Çünkü “Pentester” olmak demek başkalarının
düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.
Bu işin en kolay öğrenimi bireysel çalışmalar, kendi kendinize deneyerek öğrenmeye
çalışmak, yanılmak sonra tekrar yanılmak ve doğrusunu öğrenmektir. Eğitimler bu konuda
destekçi olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir
zaman sizi tam anlamıyla yetiştirmez, “sadece” yol gösterici olur.
Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına
doğrudan ulaştıracak bir yöntemdir ve gündemi takip etmenizi sağlar.
• Örnek; http://www.netsectr.org
Bunun yanında Linux işletim sisteminin kullanımı hakkında tecrübe ve temel ağ güvenliği
konularında bilgi sahibi olmak, Pentest konusunda sizi 1 adım öne çıkaracaktır. Bu işi ciddi
anlamda yapmak istiyorsanız bu iki konuda ne kadar bilgi ve tecrübe sahibi olursanız
rakiplerinize karşı o kadar fark atabilirsiniz demektir.
10. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
9- Pentest için hangi yazılımlar kullanılır?
Açık kod ve ticari yazılımlar olmak üzere iki çeşit kullanılır.
Açık Kod Pentest Yazılımları:
• Nmap
• Nessus
• Metasploit
• Inguma
• Hping
• Webscarab
• John the Ripper
• W3af
…bunlardan bazılarıdır. Açık kodlu olarak bilinen çoğu Pentest yazılımı Kali Linux dağıtımı ile
birlikte kurulu olarak gelmektedir.
Ticari Pentest Yazılımları:
• Immunity Canvas
• Core Impact
• HP Webinspect
• Saint Ssecurity Scanner
Bu araçların yanında araçlar kadar önemli olan “Pentest Metodolojileri” vardır. Bunların da
araçlar kadar iyi bilinmesi ve kullanılması gerekir. Bunlar;
● OWASP Guide
● NIST
● ISSAF
● OSTTM
10- Pentest konusunda hangi eğitimler vardır?
• BGA Security: Bilgi Güvenliği Akademisi Güncel Eğitim Takvimi için;
https://www.bgasecurity.com/egitim-takvimi/
• SANS Pentest Eğitimleri https://www.sans.org/curricula/penetration-testing
• Ec-Council Pentest eğitimleri http://www.penetration-testing.com
11. [10 SORUDA SIZMA TESTİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, ”Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.