Güvenlik Testi Nedir? Örnek

By: Thomas Hamilton Thomas Hamilton
Hours Güncellenmiş

⚡ Akıllı Özet

Güvenlik Testi, saldırganlardan önce bir uygulamadaki güvenlik açıklarını, tehditleri ve riskleri ortaya çıkaran bir yazılım test disiplinidir. Bu makale, yedi temel türü, SDLC entegrasyon modelini, yaygın metodolojileri, kilit rolleri ve en iyi araçları ele almaktadır.

  • 🛡️ Temel Tanım: Güvenlik testleri, bilgi, gelir veya itibar kaybına yol açabilecek güvenlik açıklarını ortaya çıkarır.
  • 🎯 Yedi Tür: Güvenlik açığı taraması, güvenlik taraması, sızma testi, risk değerlendirmesi, güvenlik denetimi, etik hackleme, duruş değerlendirmesi.
  • 🔁 Shift Sol: Gereksinimlerden desteğe kadar her yazılım geliştirme yaşam döngüsü aşamasına güvenliği entegre edin; erken düzeltmeler, yayınlandıktan sonra düzeltmelerden çok daha ucuzdur.
  • 🧪 Üç Yaklaşım: Kaplan Box, Siyah Boxve Gri Box Tam bilgiye dayalı testlerden sıfır bilgiye dayalı testlere kadar olan yelpazeyi temsil eder.
  • Araç zinciri: TeramindOWASP ZAP, WiresharkW3AF ve W3AF, içeriden gelen tehditler, web uygulamaları ve ağ testlerinde yaygın olarak kullanılmaktadır.
  • 🤖 Yapay Zeka Desteği: Yapay zekâ ajanları tarayıcı çıktısını sınıflandırır, güvenlik açıklarını istismar olasılığına göre önceliklendirir ve düzeltme yamaları taslağı hazırlar.
Devamını Oku

Güvenlik Testi Nedir?

Güvenlik Testi Nedir?

Güvenlik Testi bir türü olan yazılım testi Bu, bir uygulamadaki güvenlik açıklarını, tehditleri ve riskleri ortaya çıkarır ve davetsiz misafirlerin kötü niyetli saldırılarını önler. Güvenlik testlerinin amacı, içeriden veya dışarıdan gelen kişilerin elinde bilgi, gelir veya itibar kaybına yol açabilecek sistemdeki her türlü açığı ve zayıflığı belirlemektir.

Güvenlik testleri, bir uygulamayı davetsiz misafirlerden korur.

Güvenlik testleri neden önemlidir?

Güvenlik testlerinin temel amacı, sistemdeki tehditleri belirlemek ve potansiyel etkilerini ölçmektir; böylece tehditler azaltılabilir ve sistem güvenli bir şekilde çalışmaya devam edebilir. Güvenlik testleri, olası her riski tespit eder ve geliştiricilere dağıtımdan önce koddaki sorunları düzeltmek için uygulanabilir bilgiler sağlar.

Yazılım Testinde Güvenlik Testi Türleri

Açık Kaynak Güvenlik Testi Metodolojisi Kılavuzuna (OSSTMM) göre, yedi temel güvenlik testi türü vardır.

Yazılım testinde yedi tür güvenlik testi

  • Güvenlik Açığı Taraması: Otomatik yazılım, bir sistemi bilinen güvenlik açığı işaretlerine karşı tarar.
  • Güvenlik Taraması: Ağ ve sistemdeki zayıf noktaları belirler ve düzeltme önerilerinde bulunur. Manuel, otomatik veya her ikisi de olabilir.
  • Penetrasyon testi: Dışarıdan bir saldırganın istismar edebileceği güvenlik açıklarını ortaya çıkarmak için kötü amaçlı bir saldırıyı simüle eder.
  • Risk değerlendirmesi: Kuruluşta gözlemlenen güvenlik risklerini analiz eder ve bunları Düşük, Orta veya Yüksek olarak sınıflandırarak kontrol önerilerinde bulunur.
  • Güvenlik Denetimi: Başvuruların dahili bir incelemesi ve işletim sistemleri Güvenlik açıkları için. Satır satır kod incelemesini içerebilir.
  • Etik hackleme: Yetkilendirilmiş kişilerin, bir kuruluşun yazılımındaki güvenlik açıklarını ortaya çıkarmak amacıyla yazılımı hacklemesi; kötü niyetli bilgisayar korsanlarının amacının tam tersidir.
  • Duruş Değerlendirmesi: Güvenlik taramasını birleştirir, etik hacklemeve risk değerlendirmesi, bir kuruluşun genel güvenlik durumunu göstermek için kullanılır.

Güvenlik Testi Nasıl Yapılır?

Genel kabul gören görüşe göre, bir güvenlik açığı ne kadar geç bulunursa, düzeltme maliyeti de o kadar artar. Ertelemek güvenlik testi Dağıtım sonrasına kadar devam ettirmek, baştan itibaren yazılım geliştirme yaşam döngüsüne entegre etmekten çok daha pahalıdır.

Aşağıdaki tablo, güvenlik faaliyetlerini her bir SDLC aşamasına göre eşleştirmektedir.

SDLC'nin her aşamasındaki güvenlik süreçleri

SDLC Aşaması Güvenlik Süreçleri
Yer Alan Kurallar Gereksinimlerin güvenlik analizi ve kötüye kullanım/yanlış kullanım durumlarının incelenmesi.
Tasarım Tasarım için güvenlik risk analizi. Bir geliştirme çalışması. test planı Bu, güvenlik testlerini de içerir.
Kodlama ve Birim Testi Statik ve dinamik testler artı güvenlik beyaz kutu testi.
Entegrasyon Testi Kara kutu testi.
Sistem Testi Kara kutu testi ve güvenlik açığı taraması.
Uygulama Penetrasyon testi ve güvenlik açığı taraması.
Destek Yama etkilerinin analizi.

Güvenlik test planı şunları içermelidir:

  • Güvenlikle ilgili test durumları ve senaryoları.
  • Güvenlik testleri için tasarlanmış test verileri.
  • Her güvenlik faaliyeti için gerekli test araçları.
  • Çeşitli güvenlik araçlarından elde edilen çıktıların analizi.

Güvenlik Testi için Örnek Test Senaryoları

Aşağıdaki liste, tipik güvenlik test senaryolarına dair bir fikir vermektedir.

  • Şifreler asla düz metin olarak değil, şifrelenmiş biçimde saklanır.
  • Uygulama veya sistem geçersiz kullanıcıları engelliyor.
  • Her iş akışı için çerezler ve oturum zaman aşımı süreleri doğrulanır.
  • Finans siteleri için, tarayıcının geri düğmesi oturum kapatıldıktan sonra korumalı sayfaları tekrar görünür hale getirmemelidir.

Güvenlik Testi için Metodolojiler ve Teknikler

Güvenlik testleri, çeşitli yerleşik metodolojilere göre yapılır.

  • Kaplan Box: Testler, birden fazla işletim sistemi ve siber saldırı aracı yüklü bir dizüstü bilgisayar üzerinden gerçekleştirildi. Sızma test uzmanları tarafından güvenlik açıklarını değerlendirmek ve saldırılar düzenlemek için kullanılır.
  • Siyah Box: Testi yapan kişi, ağ topolojisi veya teknoloji yığını hakkında hiçbir iç bilgiye sahip değildir ve sistemi dışarıdan biri gibi inceler.
  • Gri Box: Test uzmanı sistem hakkında kısmi bilgi alır. Beyaz kutu ve kara kutu tekniklerinin bu hibriti, bazı ayrıntıların sızdığı gerçekçi bir tehdit modelini yansıtır.

Güvenlik Testi Rolleri

  • bilgisayar korsanı: Bir bilgisayar sistemine veya ağa izinsiz erişen kişi için kullanılan genel terimdir; günümüzde genellikle yetkisiz erişim sağlayan kötü niyetli bilgisayar korsanlarını ifade etmek için kullanılır.
  • Kraker: Sistemlere sızarak veri çalmak veya yok etmek.
  • Etik Hacker: Bir bilgisayar korsanının yaptığı faaliyetlerin aynısını, ancak sahibinin açık izniyle gerçekleştirir.ping Sistemi güçlendirmek için.
  • Script Kiddies / Packet Monkeys: Sınırlı programlama bilgisine sahip, deneyimsiz saldırganlar önceden hazırlanmış komut dosyalarına ve araçlara güvenirler.

Güvenlik Test Araçları

1) Teramind

Teramind İçeriden gelen tehditleri önleme ve çalışan izleme için kapsamlı bir çözüm paketi sunar. Davranış analizi ve veri kaybı önleme yoluyla güvenliği artırır, uyumluluğu sağlar ve iş süreçlerini optimize eder. Özelleştirilebilir platformu, çeşitli kurumsal ihtiyaçlara uygun olup, üretkenliği artırmaya ve veri bütünlüğünü korumaya odaklanan eyleme geçirilebilir içgörüler sağlar.

Teramind İçeriden gelen tehdit ve çalışan izleme platformu

Özellikler:

  • İçeriden Gelen Tehditlerin Önlenmesi: Verilere yönelik içeriden tehditlere işaret edebilecek kullanıcı eylemlerini algılar ve engeller.
  • İş Süreçlerinin Optimizasyonu: Operasyonel süreçleri iyileştirmek için veri odaklı davranış analitiği kullanır.
  • İşgücü Verimliliği: Üretkenlik, güvenlik ve uyumluluk davranışlarını izler.
  • Uyumluluk Yönetimi: Küçük işletmeler, büyük şirketler ve devlet kurumları için uygun, ölçeklenebilir tek bir çözümle uyumluluk süreçlerini yönetir.
  • Olay Adli Tıp: Olay müdahalesi, soruşturma ve tehdit istihbaratını zenginleştirmek için kanıt sağlar.
  • Veri kaybı önleme: Hassas verilerin kaybolmasını izler ve önler.
  • Çalışan Takibi: Tracks çalışan performansı ve faaliyetleri.
  • Davranışsal Analitik: Kullanıcıların uygulama davranışlarına ilişkin ayrıntılı verileri analiz ederek içgörüler elde eder.
  • Özelleştirilebilir İzleme Ayarları: İzleme kurallarının belirli kullanım durumlarına uyacak şekilde ayarlanmasına olanak tanır.
  • Kontrol Paneli Analizleri: Kapsamlı bir gösterge paneli aracılığıyla görünürlük ve uygulanabilir bilgiler sağlar.

Ziyaret edin Teramind >>

2) OWASP

MKS Açık Web Uygulaması Güvenlik Projesi (OWASP) Dünya çapında faaliyet gösteren, yazılım güvenliğini iyileştirmeye adanmış kar amacı gütmeyen bir kuruluştur. Proje, farklı yazılım ortamları ve protokolleri için sızma testi yapmaya yönelik çeşitli araçlar sunmaktadır. Başlıca araçlar şunlardır:

  1. Zed Saldırı Proxy'si (ZAP) — entegre bir sızma testi aracı.
  2. OWASP Bağımlılık Kontrolü — Proje bağımlılıklarını bilinen güvenlik açıklarına karşı tarar.
  3. OWASP Web Test Ortamı Projesi — Güvenlik araçları ve dokümanlarından oluşan özenle seçilmiş bir koleksiyon.

3) Wireshark

Wireshark Bu, daha önce Ethereal olarak bilinen bir ağ analiz aracıdır. Paketleri gerçek zamanlı olarak yakalar ve insan tarafından okunabilir biçimde görüntüler. Wireshark Açık kaynaklıdır ve Linux üzerinde çalışır. Windows, macOS, SolarisNetBSD, FreeBSD ve diğer birçok sistemde veri analizi yapılabilir. Veriler, grafiksel kullanıcı arayüzü (GUI) veya TShark komut satırı yardımcı programı aracılığıyla görüntülenebilir.

4) w3af

w3af Bu, bir web uygulaması saldırı ve denetim çerçevesidir. Birbirleriyle iletişim kuran üç eklenti kategorisi vardır: keşif, denetim ve saldırı. Keşif eklentisi test edilecek URL'leri arar, bunları güvenlik açıklarını tarayan denetim eklentisine iletir ve ardından saldırı eklentisi istismar girişiminde bulunur.

Güvenlik Testiyle İlgili Efsaneler ve Gerçekler

Güvenlik programlarını yavaşlatan birçok yaygın yanılgı bulunmaktadır. Aşağıdaki listede her bir yanılgı, altında yatan gerçekle eşleştirilmiştir.

Mit #1: Küçük bir işletmenin güvenlik politikasına ihtiyacı yoktur.
Gerçek: Her bireyin ve her şirketin bir güvenlik politikasına ihtiyacı vardır.

Mit #2: Güvenlik testleri yatırım getirisi sağlamaz.
Gerçek: Güvenlik testleri, verimliliği artıran, arıza sürelerini azaltan ve maksimum verim sağlayan iyileştirme alanlarını ortaya çıkarır.

Mit #3: Güvenliğin tek yolu sistemi fişten çekmektir.
Gerçek: Pratik güvenlik, ağın bağlantısını kesmekten değil, işletme, yasal ve sektörel gereksinimlerle uyumlu bir duruş değerlendirmesinden gelir.

Mit #4: Daha fazla yazılım veya donanım satın almak işletmeyi güvence altına alacaktır.
Gerçek: Araçlar stratejinin yerini tutmaz. Önce tehdit ortamını anlayın, sonra uygun kontrolleri seçin.

SSS

SAST (Statik Uygulama Güvenlik Testi), kaynak kodunu çalıştırmadan güvenlik açıklarına karşı tarar. DAST (Dinamik Uygulama Güvenlik Testi) ise çalışan uygulamayı inceler. Olgun ekipler, kod ve çalışma zamanı risklerini kapsamak için her ikisini de kullanır: CI'da SAST, hazırlık aşamasında DAST.

Her derlemede otomatik taramalar yapılır, bağımlılık kontrolü günlük olarak gerçekleştirilir, tam sızma testi en az yılda bir veya büyük sürümlerden sonra yapılır ve güvenlik durumu değerlendirmeleri üç ayda bir gerçekleştirilir. Finans ve sağlık gibi hassas sektörler, uyumluluk için genellikle aylık taramalar gerektirir.

OWASP ASVS, OWASP Top 10, NIST SP 800-115, ISO/IEC 27001, PCI-DSS ve OSSTMM en yaygın olarak benimsenen standartlardır. Bunlar, uygulama ve altyapı güvenlik testleri için test kapsamını, kontrol hedeflerini ve raporlama gereksinimlerini tanımlar.

AI Bu araçlar, küme tarayıcı bulgularını bir araya getirir, yanlış pozitifleri ortadan kaldırır, tehdit istihbaratı kaynaklarından istismar olasılığını tahmin eder ve yaygın CVE sınıfları için yamalar oluşturur; böylece analistler yüksek riskli, iş açısından kritik konulara odaklanabilir.

Üretken yapay zeka ajanları, belirlenmiş ortamlarda otonom sızma testleri gerçekleştirmek için keşif, istismar ve raporlama adımlarını zincirleyebilir. İnsan inceleyiciler, etik ve yasal uyumluluğu sağlamak için bulguları doğrulamaya ve canlı hedefler için istismar zincirlerini onaylamaya devam eder.

Bu yazıyı şu şekilde özetleyin: