Sızma Testi Nedir?
Sızma Testi Türleri Nelerdir? Sızma Testi Adımları Hangileridir?
Sahip
olunan bilişim teknolojileri sistemlerinde bulunan güvenlik zafiyetlerinin üçün
bir kişi tarafından (Güvenlik Uzmanı) kontrol edilmesi ve raporlanması proaktif güvenliğin adımlarından
birisidir.
Bu adımın öncesinde zafiyet analizi bulunmaktadır. Siz ne kadar
güvenliğinize dikkat etseniz bile gözünüzden kaçıracağınız zafiyetlerin bulunma
ihtimalleri vardır. İnternette saldırganların sayısı ve sahip oldukları bilgi
ve yöntem becerisi sizden genel olarak iyidir. Saldırganlara açık kapı
bırakmadan kendi güvenliğinizi bu konuda çalışan uzmanlaşmış (sızma testi
uzmanı, ethical hacker, beyaz şapkalı hacker) kişilere test ettirmek sizin ve
firmanızın daima yararına olacaktır. Sağlam, bilgi ve yetenek becerileri yüksek
bir ekibe yaptıracağınız sızma testleri, internet üzerinden gelebilecek
tehditlerin büyük bir kısmını ortaya çıkartacak ve bu yönde zafiyetlerin
giderilmesini sağlayacaktır. Ayrıca bilişim güvenliğinin zamana bağımsız olarak
dinamik bir alan olduğunu göz önünde bulundurursak sızma testlerinin de tek
başlarına yeterli olmayacağı kesindir. Sızma testlerinin bitirilmesinde bunu
takip eden günlerde ortaya çıkabilecek her türlü kritik bir güvenlik zafiyeti
kurumları zor durumda bırakabilir, özellikle kurumunuzu hedef almış kişiler
tarafından kolayca bu işlem gerçekleştirilebilir. Bu yüzden sızma testleri ile
kesinlikle yetinilmemeli ve kesinlikle katmanlı bir güvenlik mimarisinin kurum
güvenliği politikalarıyla sağlamlaştırılması önerilmektedir. Güvenlik açısından
olduğu gibi bir çok kuruluş ve kurum için sızma testleri(penetrasyon testi) ISO
27001, PCI DSS, HIPAA gibi bir takım standartlarla zorunluluk haline getirilmiştir.
Sızma testleri genel olarak maliyeti yüksek bir iştir ve çoğunlukla yöneticiler
tarafından ROI (Return of investment)’si hesaplanamayan yada yanlış hesaplanan
kapsamlı bir projedir Burada iş bilgi güvenliğini sağlayan uzman kişilere
düşmektedir. Yapılmış sızma testlerinin sonuçları yöneticilerinin
anlayabileceği bir şekilde üst yönetime anlatılarak yapılan işin şirkete uzun
vadede kazandırdıkları belirtilmelidir. Özetlemek gerekirse sızma testleri,
konusunda uzman kişilere sahip kuruluşlara yaptırıldığında kıymetli bir iş
olarak karşımıza çıkmaktadır ve standartlara uyumluluk kontrol listelerinden
bir maddenin daha tamamlanmış olmasını sağlar. Sızma testleri içerisinde
belirli kavramlar dahilinde konulara ve kategorilere ayrıştırılabilir. Sızma
testlerindeki genel kavramları açıklayacak olursak;
Sızma Testleri (Pentest
– Penetrasyon Testi)
Belirlenmiş olan bilişim
sistemlerine müşteri tarafından onay verilmiş mümkün olabilecek her türlü yolun
denenerek sızılmaya çalışılması işlemlerine pentest denir ve belirttiğimiz gibi
bu adımın başı zafiyet analizidir. Çünkü pentest’de amaç güvenlik açıklarını
bulmaktan ziyade bulunan açıkları değerlendirip sistemlere yetkili erişimler
elde etmek ve elde edilen bu erişim haklarını kullanarak tüm zafiyetlerin
ortaya çıkarılıp belirlenmesidir. Bu yüzdendir ki öncelikle zafiyet analizi
işlemleri uygulanıp zafiyetler belirlenir ardından bu zafiyetlere göre sızma
testleri gerçekleştirilir.
Sızma Testi Çeşitleri
Nelerdir?
Sızma testleri, gerçekleştirme yöntemlerine göre 3 farklı
gruba ayrılmaktadır. Bunları şu şekilde listeleyebiliriz;
- - White Box (Her türlü bilgi açık – Kolay)
- - Black Box (Hiçbir bilgi yok - Zor)
- - Grey Box (İç ağ içerisinden yetkisiz bir kullanıcı bakış açısı. Black Box > Grey Box > White Box)
Şimdi bu listeleri biraz daha detaylandıralım.
White Box Pentest – Açık Kutu Sızma Testleri
Bu
sızma testi işlemi yönteminde firma tüm bilgilerini pentest ekibi yani sızma
testi ekibiyle paylaşarak olabildiğince bilgi verme konusunda yardımcı olur.
Black Box – Kapalı Kutu Sızma Testleri
Black Box genel olarak bilinen ve
yaptırılan sızma testi yöntemidir. Bu yöntemde pentest yapılan firma, sızma
testlerini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunmaz.
Firmanın ismi ve bu firmaya ait olan domainler (alan adları) üzerinden firmanın
sahip olduğu varlıklar belirlenerek sızma testi çalışmaları gerçekleştirilir.
Zafiyet Değerlendirme Testleri – Vulnerability Assessment
Güvenlik zafiyetlerine neden
olacak açıkların belirlenen sistemler üzerinde araştırılmasıdır. Bu yöntem için
genel olarak otomatikleştirilmiş araçlar kullanılır. Bu alanda kaliteli bir
firma ile çalışmak çok önemlidir. Çünkü bu araçlar zafiyetlerinizi otomatik
olarak ortaya çıkartmaktadır ve raporlamaktadır. Neden önemli diye soracak
olursanız; Rapor sonuçlarında çıkarılan zafiyetlerin hata paylarının düşük
olması gerekmektedir. Yanılma payı en düşün olan bir araç ile çalışmak size
zamandan tasarruf sağlayacaktır. Ayrıca bu araçların sürekli olarak
güncellenmesi ve içerisinde tanımlanmış olan zafiyet sayılarının fazla olması
gerekmektedir. 5 tane zafiyeti tanıyan bir araç ile 10 tane zafiyeti tanıyan
bir aracın arasındaki farklılık sizin ve şirketiniz için önemli sonuçlar
doğurabilir.
Sızma Testlerinde Kapsam Belirleme Çalışması
Sızma testinde ana unsurlardan
biriside şüphesiz belirlenen bütün zafiyetlerin değerlendirilip sisteme
sızılmaya çalışmaktır. Bu hedefi gerçekleştirmek için sızma testlerinde kapsam
belirlemek pentest çalışmalarının en önemli adımlarını oluşturur.
Sistem ve ağ yöneticileri ile
saldırganların bakış açıları farklıdır bu yüzden sistem veya ağ yöneticileri
tarafından risk olarak belirlenmemiş bir sunucu yada sistem saldırgan için
sisteme sızmanın ilk adımını oluşturabilir. Bu yüzden kapsam çalışmalarında
kesinlikle sızma testi yapacak kişi veya firma ile ortak hareket edilmesi
gerekmektedir. Kapsamları belirlemek için standartlaşmış herhangi bir formül
bulunmamaktadır. Bütün firmalar ve ortamlar için farklılıklar
gösterebilmektedir. Genellikle penetrasyon testi farklı bileşenlere
ayrılmaktadır. Bunları basit olarak listeleyecek olursak;
Ø
Yerel ağ sızma testleri
Ø
Sanallaştırma sistemleri penetrasyon testleri
Ø
Ağ altyapısı sızma testleri
Ø
Son kullanıcı ve sosyal mühendislik penetrasyon testleri
Ø
Web uygulamaları sızma testleri
Ø
DDoS ve performans penetrasyon testleri
Ø
Mobil uygulamaların güvenliği sızma testleri
Daha öncede belirttiğimiz gibi
kapsamları belirleme hususunda sızma testlerini uygulayacak olan firma ve bu
hizmetten yararlanacak olan firma beraber karar almaları gerekmektedir. Genel
olarak bu hizmetlerden yararlanacak olan firmalar maliyetleri azaltmak için
sızma testi kapsamını olabildiğince daraltmaya çalışır ve kapsam olarak güvenli
olmadığı düşünülen sistemlere ait ip adresleri verilmektedir. Halbuki sızma
testlerindeki ana hedeflerden en önemlisi en zayıf noktayı bulmak ve kullanarak
sisteme girebilmek yani sızma işlemini gerçekleştirebildiğini göstermektir.
Yalnızca ip adresini alarak
kapsamlar üzerinde sızma testleri gerçekleştirilmez. Bir güvenlik duvarını (firewall)
test etmekle DNS sunucu veya web uygulamasını test etmek birbirinden çok
farklıdır. Aynı şekilde dinamik içerik barındıran bir web sitesi ile statik
içerik barındıran web sayfasını test etmekte içerik olarak ve harcanan emek bakımından
farklılıklar göstermektedir.
Sızma Testi Metodolojisinin Kullanımı
Yetenekleri
ve beceri seviyesi yüksek bir saldırgan, saldırmak için belirlediği bir sisteme
sızmak için daha önceden edinmiş olduğu tecrübeler sayesinde düzenli bir yol
izlemektedir. Aynı biçimde penetrasyon testini gerçekleştirecek olan uzmanlar
da çalışmalarının tekrar edilebilir, yorumlanabilir ve doğrulanabilir olmasını
gerçekleştirmek için kendilerine özgü metodolojiler geliştirir ve
geliştirmeleri gerekir. Ayrıca daha önce geliştirilmiş olan bir metodolojiyi de
takip etmeleri gerekir.
Metodoloji
kullanımı sızma testi ekipleri için çok fazla önem taşımaktadır çünkü sızma
testlerinde (penetrasyon testlerinde) daha önceden denenmiş olan ve belirli
kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar
üzerindeki başarı oranlara önemli derecede artış gösterecektir. İnternet
üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi kılavuzları
bulunuyor. Bunlardan bazı önemli olanlarını listeleyecek olursak;
- Ø OWASP (Open Web Application Security Project)
- Ø OSSTMM (The Open Source Security Testing Methodology Manual)
- Ø ISSAF (Information Systems Security Assessment Framework)
- Ø NIST SP800-115
Gelmektedir.
İnternet
üzerinden ücretsiz olarak erişilebilecek bu test metodolojileri incelenip
araştırılarak yapılacak olan güvenlik denetimi testlerinin daha faydalı ve
tekrar edilebilir sonuçlar üretilmesi sağlanır.
Metodoloji
hazırlanırken en önemli ve dikkat edilecek konulardan birisi sızma testi
metodolojisinin araç tabanlı yani “A adımı için B aracı kullanılması gerekir”
olmasına özellikle dikkat edilmelidir.
Sızma Testlerinde Proje Yönetimi Nasıl Olmalı?
Uygulanacak
olan penetrasyon testlerinden en fazla verimliliği kazanabilmek için her işte
olduğu gibi plan yapmak büyük önem taşımaktadır. Sızma Testi planı
oluşturabilmek için temel soruları cevaplayabilmek yeterli olacaktır. Bu
soruları örneklendirecek olursak;
- v Pentest (Sızma Testi) kapsamı neler olacak?
- v Bütün altyapıyı mı yoksa sadece uygulamaları ve iç ağ sistemlerini mi test ettirmek istiyorsunuz?
- v Sızma testlerini kime veya kimlere yaptıracaksınız?
- v Sızma Testlerini (Penetrasyon testleri) ne sıklıkla hangi aralıklarla yaptırmalısınız?
- v DDoS denemesi yaptırılacak mı?
- v Riskli görülen servisleri ve sistemleri kampsam dışında mı tutmalısınız yoksa bulunan zafiyetleri ve riskleri kabul edip sonucunu mu görmelisiniz?
- v Sızma Testi (Penetrasyon Testi) sonuç raporlarındaki zafiyetleri kapatmak için idari gücünüz bulunuyor mu?
Penetrasyon testi, sızma testi yani pentest hakkında mümkün
olduğunca detaylı bilgi vermeye çalıştığımız bu yazımının sonuna geldiğimizde
aklınızdaki soruları cevaplayabilmeyi amaçladık. Sızma testi ve zafiyet analizi
birbirinden farklı uygulamalardır ve belirttiğimiz gibi pentestin öncesinde
zafiyet analizi yaptırılması gerekmektedir. Zafiyet analizinin ne olduğunu
merak ediyorsanız sitemizde yeterli içerik ve dökümana ulaşabilir bu konu
hakkında yeterli bilgi edinebilirsiniz.
Aklınıza takılan ve yardıma ihtiyaç duyduğunuz noktada daima
burada sorularınızı cevaplıyor olacağım. Benimle iletişime geçebilir veya yorum
bırakarak görüşlerinizi belirtebilirsiniz.
Hiç yorum yok:
Yorum Gönder