Penetration testing nədir ?
Penetrasiya testi və ya “pentest” kompüter sistemindəki boşluqları tapmaq üçün saxta kiberhücum həyata keçirən təhlükəsizlik testidir. Pentester-lar zərər vermək əvəzinə təhlükəsizlik zəifliklərini düzəltmək üçün hacking alətləri və üsullarından istifadə edən etik hakerlik sənətində bacarıqlı təhlükəsizlik peşəkarlarıdır. Şirkətlər tətbiqlərinə, şəbəkələrinə və digər aktivlərinə qarşı simulyasiya edilmiş hücumlar həyata keçirmək üçün pentester-ları işə götürür. Saxta hücumlar təşkil etməklə, pentester-lar təhlükəsizlik qruplarına kritik təhlükəsizlik zəifliklərini aşkar etməyə və ümumi təhlükəsizlik vəziyyətini yaxşılaşdırmağa kömək edir.
Pentesting-in növləri
Bütün nüfuz testləri şirkətin kompüter sistemlərinə qarşı simulyasiya edilmiş hücumu əhatə edir. Bununla belə, müxtəlif penetarasiya testləri müxtəlif növ müəssisə aktivlərini hədəf alır.Aşağıdakı növləri vardır:
1.Application pentests
2.Network pentests
3.Hardware pentests
Tətbiq peneterasiya testləri tətbiqlərdə və əlaqəli sistemlərdə, o cümlədən veb proqramlar və veb-saytlarda, mobil və IoT proqramlarında, bulud proqramlarında və tətbiq proqramlaşdırma interfeyslərində (API) zəiflikləri axtarır.
Şəbəkə pentestləri şirkətin bütün kompüter şəbəkəsinə hücum edir. Şəbəkə pentestlərinin iki geniş növü var: xarici testlər və daxili testlər.
Xarici testlərdə pentesterlər serverlər, routerlar, vebsaytlar və işçi kompüterləri kimi internetlə əlaqəli aktivlərdə təhlükəsizlik problemləri tapmaq üçün xarici hakerlərin davranışını təqlid edir. Bunlara “xarici testlər” deyilir, çünki pentesterlər şəbəkəyə kənardan daxil olmağa çalışırlar.
Daxili təsirlər də isə məqsəd şəxsin şəbəkə daxilində istifadə edə biləcəyi zəiflikləri aşkar etməkdir – məsələn, həssas məlumatları oğurlamaq üçün giriş imtiyazlarından sui-istifadə etmək ola bilər.
Hardware penetarasiya testləri noutbuklar, mobil və IoT cihazları və əməliyyat texnologiyası (OT) kimi şəbəkəyə qoşulmuş cihazlarda zəiflikləri axtarır. Pentestlər, hakerlərə son nöqtəyə uzaqdan giriş əldə etməyə imkan verən əməliyyat sistemi istismarı kimi proqram qüsurlarını axtara bilərlər. Onlar fiziki zəiflikləri, məsələn, zərərli aktyorların daxil ola biləcəyi düzgün qorunmayan məlumat mərkəzini axtara bilərlər.
Pentestingin növləri :
Black Box Pentest: Bunlar hədəf haqqında heç bir məlumat almadan həyata keçirilən testlərdir.
White Box Pentest: Hədəf haqqında məhdud məlumatla həyata keçirilən nüfuz testidir. Pentesterlər personal kimi davranır.
Grey Box Pentest: Pentesterlər aşağı səlahiyyətli heyət və ya qonaqlar kimi fəaliyyət göstərən hədəf haqqında ən məhdud məlumat əldə etməklə həyata keçirilən bir nüfuz testidir.
Vulnerability assessment(Zəifliyin qiymətləndirilməsi) nədir?
Zəifliyin qiymətləndirilməsi kompüter sistemlərində, proqramlarda və şəbəkə infrastrukturlarında zəifliklərin müəyyən edilməsi, təsnifləşdirilməsi və prioritetləşdirilməsi prosesidir. Zəifliyin qiymətləndirilməsi təşkilatlara ətraf mühitə olan təhdidləri anlamaq və onlara reaksiya vermək üçün lazımi bilik, məlumatlılıq və risk fonları ilə təmin edir. Zəifliyin qiymətləndirilməsi təhdidləri və onların yaratdığı riskləri müəyyən etmək niyyətindədir. Bu, adətən nəticələri zəifliyin qiymətləndirilməsi hesabatında sadalanan şəbəkə təhlükəsizliyi skanerləri kimi avtomatlaşdırılmış sınaq alətlərindən istifadəni nəzərdə tutur. Zəifliyin hərtərəfli qiymətləndirilməsi, zəifliyin idarə edilməsi proqramı ilə birlikdə şirkətlərə sistemlərinin təhlükəsizliyini təkmilləşdirməyə kömək edə bilər.
Zəifliyin qiymətləndirilməsinin əhəmiyyəti
Zəifliyin qiymətləndirilməsi təşkilatlara öz mühitlərindəki təhlükəsizlik zəiflikləri haqqında ətraflı məlumat verir. Onlar həmçinin bu zəifliklərlə bağlı riskləri necə qiymətləndirmək barədə göstərişlər verirlər. Bu proses təşkilata aktivləri, təhlükəsizlik qüsurlarını və ümumi riskləri daha yaxşı başa düşməyi təklif edir, kibercinayətkarın sistemlərini pozması ehtimalını azaldır.
Zəifliyin qiymətləndirilməsi növləri
Zəifliyin qiymətləndirilməsi müxtəlif növ sistem və ya şəbəkə zəifliklərini aşkar edir. Qiymətləndirmə prosesinə zəiflikləri, təhlükələri və riskləri müəyyən etmək üçün müxtəlif alətlər, skanerlər və metodologiyalardan istifadə daxildir.
Zəifliyin qiymətləndirilməsi skanlarının növlərinə aşağıdakılar daxildir:
Şəbəkəyə əsaslanan skanlar: Bu skanlar potensial şəbəkə təhlükəsizliyi hücumlarını müəyyən edir. O, həmçinin simli və ya simsiz şəbəkələrdə həssas sistemləri aşkarlaya bilir.
Server əsaslı skanlar: Bu skanlar serverlərdə və ya digər şəbəkə cihazlarında zəiflikləri tapır və müəyyən edir. O, adətən şəbəkə əsaslı skanlarda görünə bilən portları və xidmətləri araşdırır
Simsiz Şəbəkə Skanları: Bu skanlar simsiz şəbəkə infrastrukturunda hücum nöqtələrinə diqqət yetirir. İcazəsiz giriş nöqtələrini aşkar etməklə yanaşı, şirkətin şəbəkəsinin təhlükəsiz şəkildə konfiqurasiya edildiyini də yoxlayır.
Tətbiq skanları: Bu skanlar şəbəkə və ya veb proqramlardakı məlum proqram zəifliklərini və yanlış konfiqurasiyaları aşkar etmək üçün veb saytları sınaqdan keçirir.
Verilənlər Bazasının Skanları: Bu skanlar SQL inyeksiya hücumları kimi zərərli hücumlara qarşı verilənlər bazasında zəiflikləri müəyyən edir.
Pentesting və Vulnerability Assessment (Zəifliyin qiymətləndirilməsi) arasındakı fərqlər nədir?
Pentestinq və Zəifliyin Qiymətləndirilməsi arasındakı fərqlər aşağıdakılardır: Pentestinq sistemlərin təhlükəsizliyini praktiki olaraq sınaqdan keçirmək və zəifliklərdən aktiv şəkildə istifadə etmək üçün etik hakerlər tərəfindən həyata keçirilir. Bu testlər müxtəlif hücum üsullarından istifadə edərək sistemlərə icazəsiz giriş əldə etməyi əhatə edir və adətən xüsusi hədəflərə yönəldilir. Pentestinq manual olaraq həyata keçirilir və dərin təhlili təmin edir, beləliklə real dünya hücumlarına qarşı zəiflikləri qiymətləndirir.
Digər tərəfdən, Zəifliyin Qiymətləndirilməsi avtomatlaşdırılmış alətlərdən istifadə edərək sistemləri skan edir və mövcud zəiflikləri aşkarlayır. Bu prosesdə heç bir təhlükəsizlik zəifliyindən istifadə edilmir, onlar sadəcə aşkarlanır və bildirilir. Həssaslığın Qiymətləndirilməsi daha geniş sahəni əhatə edir və ümumiyyətlə daha tez-tez və müntəzəm olaraq aparılır. Bu qiymətləndirmə sistemlərin ümumi təhlükəsizlik vəziyyəti haqqında məlumat verir və təhlükəsizlik zəifliklərini necə aradan qaldırmağa dair ümumi tövsiyələr verir. Pentestinq hücumlar nəticəsində yaranan zəifliklərin ciddiliyini nümayiş etdirsə də, zəifliyin qiymətləndirilməsi daha ümumi səthi skan edir və sistemlərin ümumi təhlükəsizlik vəziyyətini müəyyən etmək üçün nəzərdə tutulub.
