Penetrasiya Testi (Penetration Testing, qısaca Pentesting) - kibertəhlükəsizlik sahəsində kompüter sistemlərinin, şəbəkələrin, veb tətbiqlərinin, mobil tətbiqlərinin və ya digər texnoloji infrastrukturun təhlükəsizliyini qiymətləndirmək məqsədilə nəzarət altında və metodoloji şəkildə həyata keçirilən simulyasiya edilmiş kiberhücum prosesidir. Bu proses zamanı etik hakerlər və ya təhlükəsizlik mütəxəssisləri məqsədyönlü şəkildə sistemlərdə zəiflikləri axtarır, onları istismar edir və potensial təhlükəsizlik risklərini müəyyən edərək təşkilata ətraflı hesabat təqdim edirlər. Penetrasiya testinin əsas məqsədi real hücumçuların istifadə edə biləcəyi zəiflikləri proaktiv şəkildə müəyyənləşdirmək və onların aradan qaldırılması üçün tövsiyələr verməkdir.

Tarixi İnkişaf və Mənşə

Penetrasiya testinin kökləri 1960-cı illərin sonlarına gedib çıxır. ABŞ hökuməti və hərbi qurumlar kompüter sistemlərinin təhlükəsizliyini qiymətləndirmək üçün "tiger team" adlanan xüsusi komandalar yaratdılar. Bu komandalar sistemlərə icazəsiz giriş əldə etməyə çalışaraq təhlükəsizlik zəifliklərini müəyyənləşdirirdilər.

Əsas İnkişaf Mərhələləri:

1970-1980-ci illər: İlk formal penetrasiya test metodologiyalarının yaranması. James P. Anderson 1972-ci ildə kompüter təhlükəsizliyinin qiymətləndirilməsi üzrə mühüm hesabat hazırladı.

1990-cı illər: İnternetin genişlənməsi ilə birlikdə penetrasiya testinə tələbat kəskin artdı. İlk kommersiya penetrasiya test şirkətləri meydana çıxdı. 1998-ci ildə L0pht Heavy Industries qrupu ABŞ Konqresində internet təhlükəsizliyi problemləri haqqında ifadə verdi.

2000-ci illər: Penetrasiya testinin standartlaşdırılması. OWASP (Open Web Application Security Project) 2001-ci ildə yaradıldı. Metasploit Framework 2003-cü ildə buraxıldı və penetrasiya testini demokratikləşdirdi.

2010-cu illər: Bulud texnologiyaları, mobil tətbiqlər və IoT cihazlarının yayılması penetrasiya test sahəsini genişləndirdi. Avtomatlaşdırılmış alətlər və platformalar inkişaf etdi.

2020-ci illər: AI və maşın öyrənməsinin penetrasiya testinə inteqrasiyası. Remote iş mühitlərinin yayılması yeni test ssenariləri yaratdı. DevSecOps və davamlı penetrasiya test konsepsiyaları populyarlaşdı.

Fundamental Prinsiplər və Etika

Etik Hacking Prinsipi

Penetrasiya testi "etik hacking" konsepsiyasına əsaslanır - hacking bacarıqlarının konstruktiv və qanuni məqsədlər üçün istifadəsi. Penetrasiya testerlərinin fəaliyyəti bir neçə əsas prinsipə riayət etməlidir:

1. Qanuni İcazə (Authorization)

• Bütün penetrasiya test fəaliyyətləri yazılı müqavilə və açıq icazə əsasında həyata keçirilməlidir
• Təşkilatın rəhbərliyi və ya səlahiyyətli nümayəndəsi testi təsdiqləməlidir
• İcazə sənədində əhatə dairəsi, məhdudiyyətlər və qəbul edilə bilən risk səviyyəsi açıq şəkildə müəyyən edilməlidir

2. Konfidensiallik (Confidentiality)

• Test zamanı əldə edilən bütün məlumatlar məxfi saxlanılmalıdır
• Aşkar edilmiş zəifliklər yalnız müştəri təşkilatla paylaşılmalıdır
• Test nəticələri üçüncü tərəflərə ifşa edilməməlidir (müştərinin icazəsi olmadan)

3. Zərərsizlik (Do No Harm)

• Testlər mümkün qədər sistemi və biznes proseslərini təsir etməməlidir
• Məlumat itkisi və ya ciddi sistem dayaqlamaları qarşısının alınması
• Bütün dəyişikliklər və təsir edilmiş sistemlər sənədləşdirilməlidir

4. Şəffaflıq və Hesabatlılıq

• Bütün test fəaliyyətləri ətraflı qeyd edilməlidir
• Tapıntılar dürüst və obyektiv şəkildə hesabatda əks olunmalıdır
• Həm texniki, həm də biznes riski perspektivindən qiymətləndirmə

5. Peşəkar İnkişaf

• Davamlı öyrənmə və bacarıqların yeniləməsi
• Peşəkar standartlara və etika kodeksinə riayət
• İcma ilə bilik paylaşımı (məxfi məlumatları ifşa etmədən)

Penetrasiya Testinin Növləri

1. Məlumat Səviyyəsinə Görə Təsnifat

Black Box Testing (Qara Qutu Testi)

Təsvir: Tester hədəf sistem haqqında heç bir əvvəlcədən məlumat əldə etmir. Bu, xarici hücumçunun perspektivini simulyasiya edir.

Xüsusiyyətləri:

• Minimum və ya heç bir daxili məlumat verilmir
• Tester yalnız publik məlumatlardan istifadə edir
• Real dünya hücumunu ən yaxşı simulyasiya edir
• Daha çox vaxt tələb edir
• Bəzi daxili zəiflikləri qaçıra bilər

İstifadə Ssenariləri:

• Xarici təhdidlərə qarşı müdafiənin qiymətləndirilməsi
• Perimeter təhlükəsizliyinin yoxlanılması
• Publik veb tətbiqlər və xidmətlər
• Müştəri münasibətləri və istifadəçi interfeysi təhlükəsizliyi

Mərhələlər:

1. Passiv kəşfiyyat (OSINT)
2. Aktiv kəşfiyyat və skan
3. Zəifliklərin müəyyən edilməsi
4. İstismar
5. Post-exploitation

White Box Testing (Ağ Qutu Testi)

Təsvir: Testerlərə sistemin arxitekturası, mənbə kodu, credentials və digər daxili məlumatlar tam şəkildə təqdim edilir.

Xüsusiyyətləri:

• Tam şəffaflıq və daxili məlumat
• Kod səviyyəsində analiz mümkündür
• Daha sürətli və dərin analiz
• İçəridən təhdidləri yaxşı müəyyən edir
• Daha az real dünya hücumunu əks etdirir

İstifadə Ssenariləri:

• Kod təhlükəsizlik auditləri
• Daxili sistem və şəbəkə təhlükəsizliyi
• Insider threat qiymətləndirməsi
• Compliance və standart tələbləri
• DevSecOps və təhlükəsiz inkişaf təcrübələri

Üstünlüklər:

• Maksimal əhatə və dərinlik
• Məntiqi zəifliklərin tapılması
• Kod səviyyəsində təhlükəsizlik problemləri
• Daha effektiv vaxt istifadəsi

Gray Box Testing (Boz Qutu Testi)

Təsvir: Testerə məhdud məlumat verilir - adətən adi istifadəçi səviyyəsində giriş və ya qismən sistem məlumatı.

Xüsusiyyətləri:

• Qara və ağ qutu testinin balansı
• Real həyatdakı ssenariləri yaxşı əks etdirir
• Məhdud istifadəçi nöqteyi-nəzərindən
• Optimallaşdırılmış vaxt və əhatə

İstifadə Ssenariləri:

• İstifadəçi səviyyəsində privilege escalation
• Daxili şəbəkə təhlükəsizliyi
• Autentifikasiya və avtorizasiya problemləri
• Lateral movement qabiliyyətinin yoxlanılması

2. Mövqe və Perspektivə Görə Təsnifat

External Penetration Testing (Xarici Penetrasiya Testi)

Təsvir: İnternetdən və ya təşkilatın şəbəkəsi xaricindən həyata keçirilən test.

Hədəf Sistemlər:

• Publik veb serverlər və tətbiqlər
• E-poçt serverləri
• VPN gateway-lər
• Firewall və perimeter cihazları
• DNS serverləri
• FTP, SSH və digər xidmətlər
• Bulud infrastrukturu

Test Sahələri:

• Perimeter müdafiə effektivliyi
• Publik üz tutan sistemlərin təhlükəsizliyi
• DDoS müdafiəsi
• SSL/TLS konfiqurasiyası
• Zəiflik və yama idarəetməsi

Mərhələlər:

1. Reconnaissance və kəşfiyyat
2. Port və xidmət skanlaması
3. Zəiflik qiymətləndirməsi
4. İstismar və ilkin giriş
5. Şəbəkəyə daxil olma cəhdləri

Internal Penetration Testing (Daxili Penetrasiya Testi)

Təsvir: Təşkilatın daxili şəbəkəsindən həyata keçirilən test. Daxili istifadəçi və ya kompromit edilmiş sistem perspektivini simulyasiya edir.

Hədəf Sistemlər:

• Daxili serverler və iş stansiyaları
• Active Directory və domain kontrollerləri
• Daxili veb tətbiqlər və portallar
• Verilənlər bazaları
• Fayl serverləri və paylaşımları
• Printer və IoT cihazları
• Daxili API-lər

Test Sahələri:

• Lateral movement imkanları
• Privilege escalation
• Daxili segmentasiya effektivliyi
• Credential idarəetməsi
• Sensitive data exposure
• Insider threat riski

Ssenarilər:

• Kompromit edilmiş laptop
• Zərərli insider
• Fiziki giriş əldə etmiş hücumçu
• Supply chain attack vasitəsilə daxili giriş

Wireless Penetration Testing (Simsiz Şəbəkə Testi)

Təsvir: Wi-Fi və digər simsiz texnologiyaların təhlükəsizliyinin qiymətləndirilməsi.

Nəticə

Penetrasiya testi müasir kibertəhlükəsizlik strategiyasının vacib komponentidir. Düzgün həyata keçirilmiş penetrasiya testləri təşkilatlara aşağıdakı imkanları verir:

Proaktiv Təhlükəsizlik:

• Real hücumdan əvvəl zəifliklərin tapılması
• Risk-əsaslı prioritetləşdirmə
• Təhlükəsizlik investisiyalarının ROI-sinin artırılması

Compliance və Uyğunluq:

• Regulyativ tələblərə cavab
• Audit tələblərinin ödənilməsi
• Best practice-lərə uyğunluq

Təkmilləşdirmə Roadmap:

• Aydın düzəliş planı
• Prioritized action items
• Measurable improvements

Awareness və Mədəniyyət:

• Təhlükəsizlik şüurlu təşkilat
• Continuous improvement mentality
• Proactive security posture

Penetrasiya testi bir dəfəlik proses deyil, davamlı təkmilləşdirmə dövrünün bir hissəsidir. Təşkilatlar mütəmadi penetrasiya testləri həyata keçirməli (ən azı ildə bir dəfə və ya əhəmiyyətli dəyişikliklərdən sonra) və tapıntıları öz təhlükəsizlik strategiyalarına inteqrasiya etməlidirlər.