Sızma Testi
Sızma Testi diğer adıyla penetrasyon testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir. Kişisel Verilerin Korunması Kanununa Uyum sürecinde özellikle teknik tedbirler kısmında olmaz sa olmazlardan biri olan Sızma Testi, uluslararası standartlara göre uzman bir ekip tarafından yapılmaktadır. Aşağıda da ifade edildiği gibi, yapılacak sızma testinin uluslararası uygulama yöntemleri bulunmaktadır. Uygulama için çeşitli yazılımlar gerekmektedir. Adeta, bir hacker gibi davranarak, işletmenin bilişim sistemlerine saldırı senaryoları yapılarak, zayıf noktalarının tespit edilmesi ve ardından bu zafiyetlerin giderilmesi işlemleridir denilebilir.
Sızma Testi Kavramları
Sızma testi kavramı, bir şirketin bilgi güvenliğinin etkileşimini ve güvenliğinin seviyesini belirlemek için yapılan bir güvenlik testidir. Şirketlerin sızma testleri yaptırması birçok fayda sağlar:
- Zayıf Noktaların Tespiti: Sızma testleri, bir kuruluşun bilgi güvenliğindeki zayıf noktaları tespit etmek için yapılan bir testtir. Bu zayıf noktaların tespiti, kuruluşların saldırıya karşı savunmasını güçlendirmelerine ve saldırılara karşı daha dirençli hale gelmelerine yardımcı olur.
- Risklerin Azaltılması: Sızma testleri, bir kuruluşun bilgi güvenliğindeki riskleri belirlemek için yapılan bir testtir. Bu risklerin belirlenmesi, kuruluşların risk yönetimi stratejilerini güçlendirmelerine ve olası saldırıları önlemelerine yardımcı olur.
- Yasal Uyum: Bazı endüstrilerde, sızma testleri yaptırma yasal bir gereklilik olabilir. Bu testleri yaptırmak, kuruluşların yasal uyumunu sağlamalarına yardımcı olur.
- Güvenlik Politikalarının Değerlendirilmesi: Sızma testleri, bir kuruluşun güvenlik politikalarının etkinliğini değerlendirmek için kullanılır. Bu değerlendirme, kuruluşların güvenlik politikalarını geliştirmelerine ve uygulamalarını iyileştirmelerine yardımcı olur.
- İyileştirilmiş İş Sürekliliği: Sızma testleri, kuruluşların iş sürekliliği planlarını geliştirmelerine yardımcı olur. Bu testler, bir saldırı sonrası kuruluşların iş sürekliliğini sağlamalarına yardımcı olacak planlar geliştirmelerine olanak tanır.
- Müşteri Güveni: Sızma testleri, kuruluşların müşteri güvenini artırmalarına yardımcı olur. Müşteriler, bilgilerinin güvende olduğundan emin olmak istediklerinden, bir kuruluşun sızma testleri yaptırması, müşterilerinin güvenini artıracaktır.
Bu sebeplerden dolayı, birçok işletme sızma testleri yaptırarak bilgi güvenliği ve iş sürekliliği açısından daha güvenli bir ortam yaratmak isterler.
Sızma Testi Hangi Aralıklar ile Yapılmalıdır?
Birçok işletmede, sızma testleri yıllık olarak yapılması gereken bir yasal gereklilik olabilir. KVKK, GDPR gibi regülasyonlar periyodik olarak yapılmasını tavsiye ediyor. Bunun yanı sıra, kuruluşların yeni bir uygulama veya sistemi devreye almadan önce, mevcut bir sistemi önemli ölçüde değiştirmeden önce veya bir güvenlik ihlali yaşandıktan sonra sızma testleri yapmaları önerilir. Ayrıca, kuruluşların risk profilinin değiştiği durumlarda, örneğin yeni bir ofis açtıklarında veya birleşme veya satın alma işlemi gerçekleştirdiklerinde de sızma testleri yapmaları gerekebilir.Sızma testlerinin yapılacak sıklık ve aralık, kuruluşların güvenlik ihtiyaçlarına göre belirlenir. Yüksek riskli sektörlerde faaliyet gösteren kuruluşlar, sızma testlerini daha sık yaptırmalıdır. Ayrıca, kuruluşların mevcut güvenlik önlemlerinin etkinliğini sürekli olarak izlemeleri ve gerekli görülürse sızma testleri yapmaları önerilir.
Sızma Testi Aşamaları Nelerdir?
Sızma testi aşamaları aşağıdaki gibi özetlenebilir:
- Bilgi Toplama: Sızma testi, bilgi toplama aşamasıyla başlar. Kötü niyetli hacker’lar gibi davranan sızma testi mühendisleri, hedef şirket, işletme hakkında mümkün olan tüm kaynakları toplarlar. Bu, ağ topolojisi, işletim sistemleri, uygulamalar, sunucular ve diğer bileşenler hakkında bilgi toplamayı içerebilir.
- Zafiyet Tespiti: Bilgi toplama aşamasının ardından, sızma testi uzmanları hedef kuruluşta zafiyetleri tespit etmek için otomatik araçlar kullanır ve manuel testler gerçekleştirir. Bu aşamada, açık portlar, güvenlik açıkları, zayıf şifreler gibi zafiyetler tespit edilir.
- Saldırı Girişimi: Zafiyetlerin tespit edilmesinden sonra, sızma testi uzmanları saldırı girişimlerinde bulunurlar. Bu, hedef kuruluşta bir saldırganın yapabileceği gibi davranmak anlamına gelir. Uzmanlar, saldırıları gerçekleştirmek için farklı teknikler kullanabilirler.
- Erişim Elde Etmek: Saldırı girişimlerinden sonra, sızma testi uzmanları erişim elde etmeye çalışırlar. Bu aşamada, hedef kuruluşta yönetici veya kullanıcı hesaplarına erişim sağlayarak, veri çalmak, sistemlere zarar vermek veya diğer saldırılar gerçekleştirmek gibi eylemlerde bulunabilirler.
- Raporlama: Sızma testi aşamalarının sonunda, uzmanlar raporlama yaparlar. Bu rapor, tespit edilen zafiyetleri, saldırı girişimlerini ve elde edilen sonuçları içerir. Raporda, kuruluşa öneriler de sunulur ve bu öneriler, kuruluşun güvenliğini artırmak için alınabilecek adımları belirler.
Not: Sızma testi aşamaları, yapılan sızma testinin türüne ve kapsamına göre değişiklik gösterebilir.
Sızma Testi Uygulama Yöntemleri
Sızma testi mühendisleri test işlemini gerçekleştirirken 3 farklı yöntem uygulanır. Bu yöntemler saldırı senaryolarında
sızma testi uygulayıcılarının saldırı kapsamlarını gösterir.
Beyaz Kutu Yöntemi: Bu uygulama türünde sistem yöneticisinin sahip olduğu bilgilere sahip olarak güvenlik değerlendirmesi yapılır. Bilgi toplama aşaması geçilir ve zafiyet tarama işlemleri ile devam edilir.
Siyah Kutu Yöntemi: Bu yöntem türünde sistem hakkında herhangi bir olmaksızın dışarıdan yapılan güvenlik değerlendirmesidir. Gerçek saldırgan bakış açısı ile yapılır.
Gri Kutu Yöntemi: Bu yöntem türünde ağ içerisinde bulunan veya sistemdeki herhangi bir hizmeti kullanan çalışanların veya yüklenicilerin erişim yetkilerinin değerlendirildiği güvenlik testi yöntemidir.
Sızma Testi Türleri
Sızma Testi sürecinde iki yaklaşım ile saldırı senaryolarına yön verilir. Bunlar;
Birincil Yaklaşım
Aktif Saldırı: Sızma testinde sistemin genel güvenlik düzeyini gizlilik , bütünlük ve erişilebilirlik çerçevesinde değerlendirmek ve bu sistemin güvenliğini tehlikeye atabilecek tüm olası sorunları tespit etmeye yönelik saldırı türüdür. Sistem veya ağ üzerinde değişiklik yapmak için yapılan saldırılardır.
Pasif Saldırı: Sızma testinde bilgi toplama ve sınıflandırma amacıyla gizli ve yıkıcı olmayan tekniklerin kullanıldığı saldırılardır.
İkincil Yaklaşım
İç Saldırılar: Organizasyonun güvenlik şemsiyesinin içinde yer alan kullanıcılar, sistemlerin oluşturduğu alana yapılan saldırılar.
Dış Saldırılar: İnternet veya uzaktan erişim gibi kurum dışı saldırılardır.
Sızma Testinde Uygulanan Standartlar
Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;
- OWASP (Open Web Application Security Project)
- OSSTMM (The Open Source Security Testing Methodology Manual)
- ISSAF (Information Systems Security Assessment Framework) NIST SP800-115
- PTES (Penetration Testing Execution Standart)
- Fedramp (The Federal Risk and Authorization Management Program)
OWASP (Open Web Application Security Project)
Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur. (.www.owasp.org/index.php/about_the_open_web_application_security_project, Erişim Tarihi: 17 Aralık 2018)Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur.
2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.11 ana madde altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır.Bunlar;
1. Bilgi toplama
2. Yapılandırma ve Dağıtım Yönetimi Testi
3. Kimlik Yönetimi Testi
4. Kimlik Doğrulama Testi
5. Yetkilendirme Testi
6. Oturum Yönetimi Testi
7. Giriş Doğrulama Testi
8. Hata Giderme Testi
9. Zayıf Kriptografi Testi
10. İş Mantığı Testi
11. İstemci Tarafı Testi
OSSTMM (The Open Source Security Testing Methodology Manual)
2001 yılının ocak ayında ISECOM (Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır.Anahtar bölümleri şu şekilde sıralanır.
- Operasyonel Güvenlik Metrikleri
- Telekomünikasyon Güvenlik Testi
- Veri Ağları Güvenlik Testi
- STAR (Güvenlik Testi Denetim Raporu) ile Raporlama
Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir
sızma testi referans kaynağıdır. Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir.Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.
NIST SP800-115
Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunmasıdır. Ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilirler.Beş ana başlıktan oluşur. Bunlar;
- Hedef Tanımlama ve Analiz Teknikleri
- Hedef Güvenlik Açığı Doğrulama Teknikleri
- Güvenlik Değerlendirme Planlaması
- Güvenlik Değerlendirme Faaliyetleri
PTES (Penetration Testing Execution Standart)
Açık kaynak bir proje olan Sızma Testi Yürütme Standardı, 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır.Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:
İncelemek isterseniz:
https://www.nesilteknoloji.com/siber-guvenlik-uzmanlari/Author: Nisa Orman
http://nesilteknoloji.comBu rehberde yer alan yazı ve sair içeriklerin, bireysel kullanım dışında izin alınmadan kısmen yada tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır.
Bu yasağa uymayanlar hakkında 5846 sayılı Kanun uyarınca yasal işem yapılacaktır. Ürünün tüm hakları saklıdır.