11 Aralık 2015 Cuma

Sızma Testi Nedir? Sızma Testi Türleri Nelerdir? Sızma Testi Adımları Hangileridir?


Sızma Testi Nedir? Sızma Testi Türleri Nelerdir? Sızma Testi Adımları Hangileridir?

                Sahip olunan bilişim teknolojileri sistemlerinde bulunan güvenlik zafiyetlerinin üçün bir kişi tarafından (Güvenlik Uzmanı) kontrol edilmesi ve  raporlanması proaktif güvenliğin adımlarından birisidir.
Bu adımın öncesinde zafiyet analizi bulunmaktadır. Siz ne kadar güvenliğinize dikkat etseniz bile gözünüzden kaçıracağınız zafiyetlerin bulunma ihtimalleri vardır. İnternette saldırganların sayısı ve sahip oldukları bilgi ve yöntem becerisi sizden genel olarak iyidir. Saldırganlara açık kapı bırakmadan kendi güvenliğinizi bu konuda çalışan uzmanlaşmış (sızma testi uzmanı, ethical hacker, beyaz şapkalı hacker) kişilere test ettirmek sizin ve firmanızın daima yararına olacaktır. Sağlam, bilgi ve yetenek becerileri yüksek bir ekibe yaptıracağınız sızma testleri, internet üzerinden gelebilecek tehditlerin büyük bir kısmını ortaya çıkartacak ve bu yönde zafiyetlerin giderilmesini sağlayacaktır. Ayrıca bilişim güvenliğinin zamana bağımsız olarak dinamik bir alan olduğunu göz önünde bulundurursak sızma testlerinin de tek başlarına yeterli olmayacağı kesindir. Sızma testlerinin bitirilmesinde bunu takip eden günlerde ortaya çıkabilecek her türlü kritik bir güvenlik zafiyeti kurumları zor durumda bırakabilir, özellikle kurumunuzu hedef almış kişiler tarafından kolayca bu işlem gerçekleştirilebilir. Bu yüzden sızma testleri ile kesinlikle yetinilmemeli ve kesinlikle katmanlı bir güvenlik mimarisinin kurum güvenliği politikalarıyla sağlamlaştırılması önerilmektedir. Güvenlik açısından olduğu gibi bir çok kuruluş ve kurum için sızma testleri(penetrasyon testi) ISO 27001, PCI DSS, HIPAA gibi bir takım standartlarla zorunluluk haline getirilmiştir. Sızma testleri genel olarak maliyeti yüksek bir iştir ve çoğunlukla yöneticiler tarafından ROI (Return of investment)’si hesaplanamayan yada yanlış hesaplanan kapsamlı bir projedir Burada iş bilgi güvenliğini sağlayan uzman kişilere düşmektedir. Yapılmış sızma testlerinin sonuçları yöneticilerinin anlayabileceği bir şekilde üst yönetime anlatılarak yapılan işin şirkete uzun vadede kazandırdıkları belirtilmelidir. Özetlemek gerekirse sızma testleri, konusunda uzman kişilere sahip kuruluşlara yaptırıldığında kıymetli bir iş olarak karşımıza çıkmaktadır ve standartlara uyumluluk kontrol listelerinden bir maddenin daha tamamlanmış olmasını sağlar. Sızma testleri içerisinde belirli kavramlar dahilinde konulara ve kategorilere ayrıştırılabilir. Sızma testlerindeki genel kavramları açıklayacak olursak;


Sızma Testleri (Pentest – Penetrasyon Testi)


Belirlenmiş olan bilişim sistemlerine müşteri tarafından onay verilmiş mümkün olabilecek her türlü yolun denenerek sızılmaya çalışılması işlemlerine pentest denir ve belirttiğimiz gibi bu adımın başı zafiyet analizidir. Çünkü pentest’de amaç güvenlik açıklarını bulmaktan ziyade bulunan açıkları değerlendirip sistemlere yetkili erişimler elde etmek ve elde edilen bu erişim haklarını kullanarak tüm zafiyetlerin ortaya çıkarılıp belirlenmesidir. Bu yüzdendir ki öncelikle zafiyet analizi işlemleri uygulanıp zafiyetler belirlenir ardından bu zafiyetlere göre sızma testleri gerçekleştirilir.


Sızma Testi Çeşitleri Nelerdir?


Sızma testleri, gerçekleştirme yöntemlerine göre 3 farklı gruba ayrılmaktadır. Bunları şu şekilde listeleyebiliriz;
  • -          White Box (Her türlü bilgi açık – Kolay)
  • -          Black Box (Hiçbir bilgi yok - Zor)
  • -          Grey Box (İç ağ içerisinden yetkisiz bir kullanıcı bakış açısı. Black Box > Grey Box > White Box)

Şimdi bu listeleri biraz daha detaylandıralım.

White Box Pentest – Açık Kutu Sızma Testleri

                Bu sızma testi işlemi yönteminde firma tüm bilgilerini pentest ekibi yani sızma testi ekibiyle paylaşarak olabildiğince bilgi verme konusunda yardımcı olur.

Black Box – Kapalı Kutu Sızma Testleri

Black Box genel olarak bilinen ve yaptırılan sızma testi yöntemidir. Bu yöntemde pentest yapılan firma, sızma testlerini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunmaz. Firmanın ismi ve bu firmaya ait olan domainler (alan adları) üzerinden firmanın sahip olduğu varlıklar belirlenerek sızma testi çalışmaları gerçekleştirilir.


Zafiyet Değerlendirme Testleri – Vulnerability Assessment

Güvenlik zafiyetlerine neden olacak açıkların belirlenen sistemler üzerinde araştırılmasıdır. Bu yöntem için genel olarak otomatikleştirilmiş araçlar kullanılır. Bu alanda kaliteli bir firma ile çalışmak çok önemlidir. Çünkü bu araçlar zafiyetlerinizi otomatik olarak ortaya çıkartmaktadır ve raporlamaktadır. Neden önemli diye soracak olursanız; Rapor sonuçlarında çıkarılan zafiyetlerin hata paylarının düşük olması gerekmektedir. Yanılma payı en düşün olan bir araç ile çalışmak size zamandan tasarruf sağlayacaktır. Ayrıca bu araçların sürekli olarak güncellenmesi ve içerisinde tanımlanmış olan zafiyet sayılarının fazla olması gerekmektedir. 5 tane zafiyeti tanıyan bir araç ile 10 tane zafiyeti tanıyan bir aracın arasındaki farklılık sizin ve şirketiniz için önemli sonuçlar doğurabilir.

Sızma Testlerinde Kapsam Belirleme Çalışması

Sızma testinde ana unsurlardan biriside şüphesiz belirlenen bütün zafiyetlerin değerlendirilip sisteme sızılmaya çalışmaktır. Bu hedefi gerçekleştirmek için sızma testlerinde kapsam belirlemek pentest çalışmalarının en önemli adımlarını oluşturur.

Sistem ve ağ yöneticileri ile saldırganların bakış açıları farklıdır bu yüzden sistem veya ağ yöneticileri tarafından risk olarak belirlenmemiş bir sunucu yada sistem saldırgan için sisteme sızmanın ilk adımını oluşturabilir. Bu yüzden kapsam çalışmalarında kesinlikle sızma testi yapacak kişi veya firma ile ortak hareket edilmesi gerekmektedir. Kapsamları belirlemek için standartlaşmış herhangi bir formül bulunmamaktadır. Bütün firmalar ve ortamlar için farklılıklar gösterebilmektedir. Genellikle penetrasyon testi farklı bileşenlere ayrılmaktadır. Bunları basit olarak listeleyecek olursak;

Ø  Yerel ağ sızma testleri
Ø  Sanallaştırma sistemleri penetrasyon testleri
Ø  Ağ altyapısı sızma testleri
Ø  Son kullanıcı ve sosyal mühendislik penetrasyon testleri
Ø  Web uygulamaları sızma testleri
Ø  DDoS ve performans penetrasyon testleri
Ø  Mobil uygulamaların güvenliği sızma testleri
Daha öncede belirttiğimiz gibi kapsamları belirleme hususunda sızma testlerini uygulayacak olan firma ve bu hizmetten yararlanacak olan firma beraber karar almaları gerekmektedir. Genel olarak bu hizmetlerden yararlanacak olan firmalar maliyetleri azaltmak için sızma testi kapsamını olabildiğince daraltmaya çalışır ve kapsam olarak güvenli olmadığı düşünülen sistemlere ait ip adresleri verilmektedir. Halbuki sızma testlerindeki ana hedeflerden en önemlisi en zayıf noktayı bulmak ve kullanarak sisteme girebilmek yani sızma işlemini gerçekleştirebildiğini göstermektir.
Yalnızca ip adresini alarak kapsamlar üzerinde sızma testleri gerçekleştirilmez. Bir güvenlik duvarını (firewall) test etmekle DNS sunucu veya web uygulamasını test etmek birbirinden çok farklıdır. Aynı şekilde dinamik içerik barındıran bir web sitesi ile statik içerik barındıran web sayfasını test etmekte içerik olarak ve harcanan emek bakımından farklılıklar göstermektedir.

Sızma Testi Metodolojisinin Kullanımı

                Yetenekleri ve beceri seviyesi yüksek bir saldırgan, saldırmak için belirlediği bir sisteme sızmak için daha önceden edinmiş olduğu tecrübeler sayesinde düzenli bir yol izlemektedir. Aynı biçimde penetrasyon testini gerçekleştirecek olan uzmanlar da çalışmalarının tekrar edilebilir, yorumlanabilir ve doğrulanabilir olmasını gerçekleştirmek için kendilerine özgü metodolojiler geliştirir ve geliştirmeleri gerekir. Ayrıca daha önce geliştirilmiş olan bir metodolojiyi de takip etmeleri gerekir.
                Metodoloji kullanımı sızma testi ekipleri için çok fazla önem taşımaktadır çünkü sızma testlerinde (penetrasyon testlerinde) daha önceden denenmiş olan ve belirli kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar üzerindeki başarı oranlara önemli derecede artış gösterecektir. İnternet üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi kılavuzları bulunuyor. Bunlardan bazı önemli olanlarını listeleyecek olursak;

  • Ø  OWASP (Open Web Application Security Project)
  • Ø  OSSTMM (The Open Source Security Testing Methodology Manual)
  • Ø  ISSAF (Information Systems Security Assessment Framework)
  • Ø  NIST SP800-115

Gelmektedir.
                İnternet üzerinden ücretsiz olarak erişilebilecek bu test metodolojileri incelenip araştırılarak yapılacak olan güvenlik denetimi testlerinin daha faydalı ve tekrar edilebilir sonuçlar üretilmesi sağlanır.
                Metodoloji hazırlanırken en önemli ve dikkat edilecek konulardan birisi sızma testi metodolojisinin araç tabanlı yani “A adımı için B aracı kullanılması gerekir” olmasına özellikle dikkat edilmelidir.

Sızma Testlerinde Proje Yönetimi Nasıl Olmalı?

                Uygulanacak olan penetrasyon testlerinden en fazla verimliliği kazanabilmek için her işte olduğu gibi plan yapmak büyük önem taşımaktadır. Sızma Testi planı oluşturabilmek için temel soruları cevaplayabilmek yeterli olacaktır. Bu soruları örneklendirecek olursak;
  • v  Pentest (Sızma Testi) kapsamı neler olacak?
  • v  Bütün altyapıyı mı yoksa sadece uygulamaları ve iç ağ sistemlerini mi test ettirmek istiyorsunuz?
  • v  Sızma testlerini kime veya kimlere yaptıracaksınız?
  • v  Sızma Testlerini (Penetrasyon testleri) ne sıklıkla hangi aralıklarla yaptırmalısınız?
  • v  DDoS denemesi yaptırılacak mı?
  • v  Riskli görülen servisleri ve sistemleri kampsam dışında mı tutmalısınız yoksa bulunan zafiyetleri ve riskleri kabul edip sonucunu mu görmelisiniz?
  • v  Sızma Testi (Penetrasyon Testi) sonuç raporlarındaki zafiyetleri kapatmak için idari gücünüz bulunuyor mu?

Penetrasyon testi, sızma testi yani pentest hakkında mümkün olduğunca detaylı bilgi vermeye çalıştığımız bu yazımının sonuna geldiğimizde aklınızdaki soruları cevaplayabilmeyi amaçladık. Sızma testi ve zafiyet analizi birbirinden farklı uygulamalardır ve belirttiğimiz gibi pentestin öncesinde zafiyet analizi yaptırılması gerekmektedir. Zafiyet analizinin ne olduğunu merak ediyorsanız sitemizde yeterli içerik ve dökümana ulaşabilir bu konu hakkında yeterli bilgi edinebilirsiniz.

Aklınıza takılan ve yardıma ihtiyaç duyduğunuz noktada daima burada sorularınızı cevaplıyor olacağım. Benimle iletişime geçebilir veya yorum bırakarak görüşlerinizi belirtebilirsiniz.



Hiç yorum yok:

Yorum Gönder