Siber Güvenlik Analisti x Pentester

Siber Güvenlik Analisti x Pentester

Organizasyonların bilgilerini korumakla yükümlü olan güvenlik uzmanları, sorumluluklarını üç kısma bölmüştür: gizlilik, bütünlülük, kullanılabilirlik (CIA). Bir organizasyonun güvenliğini bozmak isteyen bir saldırganın aklında buna karşılık gelen üç hedefi vardır: açığa çıkartma, değiştirme ve engelleme (DAD). CIA ve DAD olarak bilinen dairesel üçgen modelleri dünya çapında birçok güvenlik uzmanı tarafından kullanılmaktadır.

CIA ve DAD üçgeni, bilgi güvenliği ilkelerinin klasik modelleridir.

Siber güvenlik uzmanları bilgi güvenliğinin hedeflerini anlatmak için CIA dairesel üçlüsünü kullanırlar. CIA, siber güvenlik programlarının korumaya çalıştığı bilginin üç karakteristik özelliğini içerir.

• Gizlilik önlemleri bilgilere veya sistemlere yetkisiz erişimi önlemeyi amaçlar.
• Bütünlülük önlemleri bilgilerin veya sistemlerin yetkisiz değiştirilmesini önlemeyi amaçlar.
• Kullanılabilirlik önlemleri bilgilerin ve sistemlerin gerektiği gibi kullanımının mümkün olmasını sağlamayı amaçlar.

Saldırganlar ya da Pentesterlar bu hedeflere karşılık kendi hedeflerine ulaşabilmek için bu hedefleri baltalamayı amaçlar. Saldırganların hedefleri DAD dairesel üçlüsünde olduğu gibidir.

Siber güvenlik uzmanları hakkında konuştuğumuzda akılda tutulması gereken husus, savunma ve atakla ilgili her gün kullandıkları güvenlik, teknikler ve araçlarla ilgili kavramları bilmeleri gerekir. Bu işi yapan kişi saldırganın veya pentesterın zihin yapısına sahip olmalı, büyük saldırılarla SQL Injection, XSS, XSS stored, Man-In-The-Middle(MITM), Brute-force, Remote CodeExecution, File Include, Directory yada PathTraversal, Code Obfuscation ve diğer bir çok kavramla ilgili bilgi sahibi olmalıdır. Bu aktörler arasındaki fark, her birinin çalıştığı ortamdaki roldür.

Aşağıdaki infografikte her takımın bazı rolleri gösterilmektedir.

Aşağıda her iki profesyonelin kullandığı araçlar bulunmakta.

Scanners

  • Nikto
  • OpenVAS
  • sqlmap
  • Nessus
  • Nmap

OSINT

  • WHOIS
  • Nslookup
  • FOCA
  • theHarvester
  • Shodan
  • Maltego
  • Recon-ng
  • Censys

Credential Testing Tools

  • Hashcat
  • Medusa
  • Hydra
  • CeWL
  • John the Ripper
  • Cain and Abel
  • Mimikatz
  • Patator
  • DirBuster
  • W3AF

Wireless

  • Aircrack-ng
  • Kismet
  • WiFite

Networking Tools

  • Wireshark
  • Hping

Debuggers

  • OllyDbg
  • Immunity Debugger
  • GDB
  • WinDbg
  • IDA

Web Proxies

  • OWASP ZAP
  • Burp Suite

Mobile Tools

  • Drozer
  • APKX
  • APK Studio

Software Assurance

  • FindBugs/find-sec-bugs
  • Peach
  • AFL
  • SonarQube
  • YASCA

Social Engineering Tools

  • SET
  • BeEF

Miscellaneous Tools

  • SearchSploit
  • PowerSploit
  • Responder
  • Impacket
  • Empire
  • Metasploit framework

Script Language

  • Bash
  • Powershell
  • Python
  • Ruby

Kaynak

Related Posts

Facebook Comments