Penetrasiya testləri bugünkü kibertəhlükəsizlik sənayesində ən vacib məsələlərdən biridir. Sızma testi kibercinayətkarların sistemlərə zərər verməsinin qarşısını almaq üçün səlahiyyətli şəxslər tərəfindən həyata keçirilən hücum simulyasiyasıdır. Nüfuz testinin ümumi məqsədi informasiya sistemlərində və ya tətbiqlərdə təhlükəsizlik zəifliklərini və məntiq səhvlərini aşkar etmək, kibercinayətkarlar tərəfindən istifadə edilməsi nəzərdə tutulan üsullardan istifadə edərək sistemə sızmaq və nəticələri müəyyən standartlara uyğun olaraq bildirməkdir.
Nüfuz testinin növləri
Ağ qutu (White Box):
Testi həyata keçirəcək komandaya şəbəkə və sistem infrastrukturu haqqında məlumat verilməklə həyata keçirilən nüfuz testi növüdür.
Qara qutu (Black Box) :
Testi həyata keçirən ekspertə şəbəkə və sistem infrastrukturu haqqında heç bir məlumat verilmir. Tamamilə bilinməyən bir sistem haqqında məlumat toplamaq və sınaqdan keçirmək gözlənilir. Beləliklə, əsl kiberhücum simulyasiya edilir.
Boz qutu (Gray Box):
Şəbəkə və sistem infrastrukturu haqqında IP ünvan siyahısı, server sistemi haqqında versiya məlumatı kimi məlumatların testi həyata keçirən mütəxəssisə verilməsi ilə həyata keçirilən nüfuz testi növüdür. O, adətən icazəsiz və ya aşağı səlahiyyətli istifadəçilərin sistemə vura biləcəyi zərərin təhlilini təqdim edir.
Nüfuz testinin mərhələləri:
Nüfuz testini beş mərhələyə bölmək olar.
Nüfuz testi mərhələləri ümumiyyətlə 5 başlıq altında araşdırılır.
1.Planlaşdırma: Test həyata keçirilməzdən əvvəl test tələb edən şirkətlə testin növü, sızacaq sistemlər, testin tarixi və vaxtı, testi edəcək şəxs və s. məsələləri müzakirə etmək lazımdır. Bu, məlumatın müəyyən edildiyi mərhələdir.
- Məlumatın toplanması: Bu, hərtərəfli nüfuz sınağı keçirmək üçün hədəf haqqında bütün mümkün məlumatları toplamaq üçün istifadə edilən mərhələdir. Bəzi sistemlərdə hətta məlumat toplayan zaman da kritik təhlükəsizlik zəiflikləri ola bilər. Hədəf haqqında əldə edilə bilən hər cür məlumatın tapıldığı və bildirildiyi, hədəfin dns ünvanları, portlarda işləyən xidmətlər, whois sorğuları kimi müxtəlif məlumatların toplandığı mərhələdir. İnformasiya toplama mərhələsi hədəf passiv məlumat toplama və aktiv məlumat toplama kimi iki yerə bölünür.
- Passiv məlumatların toplanması: Passiv məlumatların toplanması, hədəf sistem administratorunun sistem haqqında məlumat topladığımızı dərk etmədiyi şəkildə məlumatların toplanmasıdır. Başqa sözlə, hədəf sistemlə birbaşa əlaqə yaratmadan hədəf haqqında məlumat topladığımız prosesdir. Passiv məlumatların toplanmasında istifadə edəcəyimiz alətlərə misal gətirək: Google, Bing və hədəf haqqında müxtəlif məlumatlar verən whois və dns sorğu saytları.
- Aktiv məlumatların toplanması: Hədəf haqqında məlumat toplanarkən birbaşa əlaqə yaradaraq məlumat toplama prosesi aktiv məlumat toplama adlanır. Aktiv məlumatların toplanması adətən proqram təminatı vasitəsilə həyata keçirilir. Kali Linux, pentestbox kimi proqramlarda aktiv məlumat toplamaq üçün istifadə edə biləcəyiniz çoxlu proqramlar var.
2. Skan edin
Məlumat toplama mərhələsindən sonra hədəf haqqında bütün mümkün məlumatlar əldə edildikdə, hədəf şəbəkə və onun resurslarını təhlil etmək üçün daha texniki yanaşma tətbiq edilir. Ümumiyyətlə, təhlükəsizlik sahəsində avtomatlaşdırılmış alətlərdən istifadə edərək sistem haqqında ümumi bir skan edilir. Bu avtomatlaşdırılmış alətlər sayəsində sistemlərin hansı portunda hansı xidmətin işlədiyi və bu xidmətin hansı versiyasından istifadə edildiyi kimi məlumatlar əldə edilir.
3. Giriş
Məlumatın toplanması və skan edilməsi mərhələlərində toplanmış məlumatlardan istifadə etməklə, hədəflənmiş sistemdən faydalanmaq üçün aşkar edilmiş zəiflikdən istifadə etmək üçün lazımi araşdırma və planlaşdırma aparılır. Bu mərhələdə aşkar edilən zəifliklərlə normal istifadəçilərin çata bilmədiyi sistem resurslarına daxil olmağa çalışılır.
4. Giriş və Yüksəkliyin Davamlılığı:
Bu mərhələdə daxil olan sistemdə qalıcı olmağa çalışılır. Bu nöqtədə testi edən şəxs olduğu nöqtədə səlahiyyətlərini artırmaq üçün səylər göstərir.
Zəifliyin Skanı: Sistemdə zəiflik aşkar edilir və yuxarıdakı addımlara əməl olunur. Bu addımlar hər bir zəiflik üçün təkrarlanır.
6. Nəticələrin Təhlili – Hesabat:
Əvvəlki mərhələdə tətbiq edilən əməliyyatların xülasəsi alınır. Mümkün zərərlər və riskləri aradan qaldırmaq üçün görülə biləcək tədbirlər, hansı sistemlərin təsir edə biləcəyi və onun təsirləri barədə məlumat verilir.
Hesabat mərhələsində nəzərə alınmalı olanlar;
Nüfuz testində istifadə olunan standartlar,
Nüfuz testində istifadə olunan bütün alətlər və proseslər hesabatda ətraflı şəkildə qeyd olunur,
Nüfuz sınağı zamanı aşkar edilmiş fövqəladə və kritik səviyyəli təhlükəsizlik zəiflikləri haqqında ani bildiriş. Hesabatda bu açılışları ətraflı qeyd edərək,
Hesabatlar oxunaqlı və başa düşüləndir. Texniki sözlər bölmədə ətraflı qeyd olunur,
Nüfuz testi hesabatında; Testi həyata keçirən nüfuz testçisi, hesabatı hazırlayan şəxs və qurum haqqında qısa məlumat vermək,
Hesabatın şifrəli və məxfi ötürülməsi,
Rəhbərlərə və texniki işçilərə xüsusi izahatlar və ya müxtəlif hesabatlar təqdim edilməlidir.
7. Təmizləmə: Əgər istismarlar sistemdə hər hansı dəyişiklik edibsə, onlar bərpa edilir və yaradılmış istifadəçilər və/yaxud fayllar silinir.