DORA TLPT’ye Uyumlu Pentest: Adım Adım Yol Haritası
Dijital Operasyonel Direnç Yasası (DORA) kapsamında hedefe dayalı tehdit istihbarat odaklı pentest (TLPT) ile gerçek dünyaya karşı direncinizi artırın.
Giriş
DORA, AB finans sektöründe operasyonel direnci güçlendirmek için tasarlanmış kapsamlı bir düzenlemedir. En kritik unsurlarından biri, tehdit istihbaratıyla yönlendirilen penetrasyon testi (TLPT) gerekliliğidir. Bu yazı, DORA’ya uyumlu bir pentestin uçtan uca yol haritasını sunar.
Bölüm 1: DORA ve TLPT’yi Anlamak
1.1 DORA’nın Temel Prensipleri ve Hedefleri
DORA; BİT risklerinin proaktif yönetimi, olay raporlaması, dijital operasyonel direnç testleri ve üçüncü taraf risk yönetimini zorunlu kılar. Amaç, finansal sistemin bütünlüğünü ve istikrarını korumaktır.
1.2 TLPT Nedir ve Neden Önemlidir?
TLPT; gerçekçi tehdit istihbaratına dayanan, TTP’leri taklit eden bir saldırı simülasyonudur. Sadece teknik zafiyetleri değil, insan-süreç-teknoloji bileşenlerinin birlikte etkinliğini ölçer.
1.3 DORA ve TLPT Arasındaki İlişki
DORA, düzenli TLPT talep eder. Uyumlu pentest; yasal gereklilik olmanın ötesinde, kurumsal savunmayı gerçek tehditlere karşı sürekli geliştirme fırsatıdır.
Bölüm 2: TLPT’ye Hazırlık Aşaması
2.1 Kapsam Belirleme
- Kritik iş fonksiyonlarını destekleyen tüm BİT varlıkları
- İş etkisi analizi ve risk sonuçlarına dayalı seçim
- Üçüncü taraf/hizmet sağlayıcıların kapsama dahil edilmesi
2.2 Tehdit İstihbaratı Entegrasyonu
OSINT, sektör raporları ve önceki olaylardan beslenen TTP’lerle gerçekçi saldırı senaryoları inşa edilir.
2.3 Ekip ve Roller
Kırmızı takım (saldırı), mavi takım (savunma), beyaz takım (koord.) net görevlerle konumlandırılır; bağımsız ve yetkin uzman şarttır.
2.4 Yasal & Düzenleyici Çerçeve
İlgili otoritelere bildirim/izin; kapsam ve etik sınırlar; olası etkiler için geri dönüş planları.
Uyarı: TLPT yalnızca yetkilendirilmiş kapsam ve resmî onaylarla yürütülmelidir.
Bölüm 3: Test Planlaması ve Senaryo Geliştirme
3.1 Hedef Tabanlı Yaklaşım
Örn. “kritik iş fonksiyonunu felç etmek”, “belirli hassas veriyi sızdırmak”, “fon hareketini manipüle etmek” gibi ölçülebilir hedefler.
3.2 Tehdit Aktörü Profillemesi
Devlet destekli APT, organize suç, iç tehdit gibi aktörlerin motivasyon ve kabiliyetlerine göre savunma varsayımları.
3.3 Saldırı Senaryoları
MITRE ATT&CK ile keşiften etkiye tam yolculuk; kurum özgü altyapı ve süreçleri yansıtacak şekilde tasarım.
3.4 Zaman Çizelgesi & Kaynak Yönetimi
Aşamalar, süreler, sorumlular; araçlar/bütçe planı ve iletişim/eskalasyon şeması.
Bölüm 4: Uygulama Aşaması: Pentestin Gerçekleştirilmesi
4.1 Keşif & Bilgi Toplama
OSINT, ağ keşfi, sosyal mühendislik; teknoloji yığını, çalışan profilleri ve giriş noktaları haritalanır.
4.2 Zafiyet Analizi & Sömürü
Yanlış yapılandırma, yamalanmamış yazılım, zayıf parola ve süreç açıkları üzerinden ilk erişim.
4.3 Kalıcılık & Yanal Hareket
Ayrıcalık yükseltme, arka kapılar, ağ içi hareket; mavi takım algılama/yanıt yetenekleri ölçülür.
4.4 Veri Exfiltrasyonu & Etki Simülasyonu
Hassas veriyi dışarı çıkarma veya kritik sistem kesintisini canlandırma; DLP ve iş sürekliliği test edilir.
Bölüm 5: Raporlama ve İyileştirme
5.1 Detaylı Raporlama
Teknik bulgular, istismar yolları, erişim seviyeleri, etkilenen varlıklar; yönetici özeti ve DORA’ya uygun format.
5.2 Risk Değerlendirmesi & Önceliklendirme
İş etkisi × olasılık temelli puanlama; teknik ve süreçsel zafiyetlerin bütüncül değerlendirmesi.
5.3 İyileştirme Planı
Somut aksiyonlar, sorumlular, hedef tarihler; yamalar, konfigürasyon sertleştirme, politika güncelleme ve eğitim.
5.4 Takip & Doğrulama Testleri
Odaklı yeniden testlerle kapatmaların teyidi; regresyon risklerine karşı kontrol listeleri.
İyi Uygulama: Düzeltme kapanış SLA’leri, bağımsız doğrulama testi ve tehdit istihbaratı güncellemelerini periyodik olarak döngüye ekleyin.
