Sızma Testleri​

Sızma testi kavramı, bir şirketin bilgi güvenliğinin etkileşimini ve güvenliğinin seviyesini belirlemek için yapılan bir güvenlik testidir.

Sızma Testleri​

Sızma Testi

Sızma Testi diğer adıyla penetrasyon testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir. Kişisel Verilerin Korunması Kanununa Uyum sürecinde özellikle teknik tedbirler kısmında olmaz sa olmazlardan biri olan Sızma Testi, uluslararası standartlara göre uzman bir ekip tarafından yapılmaktadır. Aşağıda da ifade edildiği gibi, yapılacak sızma testinin uluslararası uygulama yöntemleri bulunmaktadır. Uygulama için çeşitli yazılımlar gerekmektedir. Adeta, bir hacker gibi davranarak, işletmenin bilişim sistemlerine saldırı senaryoları yapılarak, zayıf noktalarının tespit edilmesi ve ardından bu zafiyetlerin giderilmesi işlemleridir denilebilir.

Sızma Testi Kavramları

Sızma testi kavramı, bir şirketin bilgi güvenliğinin etkileşimini ve güvenliğinin seviyesini belirlemek için yapılan bir güvenlik testidir. Şirketlerin sızma testleri yaptırması birçok fayda sağlar:

  1. Zayıf Noktaların Tespiti:Sızma testleri, bir kuruluşun bilgi güvenliğindeki zayıf noktaları tespit etmek için yapılan bir testtir. Bu zayıf noktaların tespiti, kuruluşların saldırıya karşı savunmasını güçlendirmelerine ve saldırılara karşı daha dirençli hale gelmelerine yardımcı olur.
  2. Risklerin Azaltılması:Sızma testleri, bir kuruluşun bilgi güvenliğindeki riskleri belirlemek için yapılan bir testtir. Bu risklerin belirlenmesi, kuruluşların risk yönetimi stratejilerini güçlendirmelerine ve olası saldırıları önlemelerine yardımcı olur.
  3. Yasal Uyum:Bazı endüstrilerde, sızma testleri yaptırma yasal bir gereklilik olabilir. Bu testleri yaptırmak, kuruluşların yasal uyumunu sağlamalarına yardımcı olur.
  4. Güvenlik Politikalarının Değerlendirilmesi:Sızma testleri, bir kuruluşun güvenlik politikalarının etkinliğini değerlendirmek için kullanılır. Bu değerlendirme, kuruluşların güvenlik politikalarını geliştirmelerine ve uygulamalarını iyileştirmelerine yardımcı olur.
  5. İyileştirilmiş İş Sürekliliği:Sızma testleri, kuruluşların iş sürekliliği planlarını geliştirmelerine yardımcı olur. Bu testler, bir saldırı sonrası kuruluşların iş sürekliliğini sağlamalarına yardımcı olacak planlar geliştirmelerine olanak tanır.
  6. Müşteri Güveni:Sızma testleri, kuruluşların müşteri güvenini artırmalarına yardımcı olur. Müşteriler, bilgilerinin güvende olduğundan emin olmak istediklerinden, bir kuruluşun sızma testleri yaptırması, müşterilerinin güvenini artıracaktır.

Bu sebeplerden dolayı, birçok işletme sızma testleri yaptırarak bilgi güvenliği ve iş sürekliliği açısından daha güvenli bir ortam yaratmak isterler.

Sızma Testi Hangi Aralıklar ile Yapılmalıdır?

Birçok işletmede, sızma testleri yıllık olarak yapılması gereken bir yasal gereklilik olabilir. KVKK, GDPR gibi regülasyonlar periyodik olarak yapılmasını tavsiye ediyor. Bunun yanı sıra, kuruluşların yeni bir uygulama veya sistemi devreye almadan önce, mevcut bir sistemi önemli ölçüde değiştirmeden önce veya bir güvenlik ihlali yaşandıktan sonra sızma testleri yapmaları önerilir. Ayrıca, kuruluşların risk profilinin değiştiği durumlarda, örneğin yeni bir ofis açtıklarında veya birleşme veya satın alma işlemi gerçekleştirdiklerinde de sızma testleri yapmaları gerekebilir. Sızma testlerinin yapılacak sıklık ve aralık, kuruluşların güvenlik ihtiyaçlarına göre belirlenir. Yüksek riskli sektörlerde faaliyet gösteren kuruluşlar, sızma testlerini daha sık yaptırmalıdır. Ayrıca, kuruluşların mevcut güvenlik önlemlerinin etkinliğini sürekli olarak izlemeleri ve gerekli görülürse sızma testleri yapmaları önerilir.

 

1.Sanal Sunucu Sanallaştırma:

Bir fiziksel sunucunun birden fazla sanal sunucuya sunulmasını sağlar ve kişinin bağımsız bir çalışma sistemi gibi davranmasını sağlayan bir teknolojidir.

Her sanal sunucu, bağımsız bir işletim sistemi ve uygulama yüküne sahip gibi davranır.

Popüler sanal sunucu sanallaştırma platformları arasında VMware vSphere/ESXi, Microsoft Hyper-V ve Xen bulunmaktadır.

Bu sunucu kaynakları sayesinde daha verimli bir şekilde kullanılabilir ve farklı uygulamlar veya iletişim sistemleri aynı fiziksel sunucu üzerinde çalışabilir.

2.Sanal Depolama Sanallaştırma:

Fiziksel disk sürücülerinin sanal depolama depolamasını dönüştürerek daha fazla depolama kapasitesi ve dayanıklılık sağlar. Bu model, veri depolama ve yedekleme işlemlerini gerçekleştirir.

Bu sayede veriler daha etkili bir şekilde yönetilebilir ve depolama kaynakları daha verimli bir şekilde kullanılabilir.

Örnekler arasında VMware vSAN ve Microsoft Storage Spaces bulunur.

3. Sanal Ağ Sanallaştırma:

Ağ kaynaklarını soyutlayarak sanal ağlar oluşturmayı sağlar. Bu, ağ politikasını düzenleme ve güvenlik politikalarını uygulama gücünü artırır.

Bu teknoloji, ağ aktarımını yönlendirme, güvenlik politikalarının uygulaması ve kaynaklar daha esnek bir şekilde ölçeklendirme yeteneğini sağlar.

Örnekler arasında Cisco ACI (Application Centric Infrastructure) ve VMware NSX bulunur.

4. Sanal Masaüstü Sanallaştırma:

Kullanıcıların sanal mobil bilgisayarlarını uzaktan erişim sağlayarak kullanmalarını mümkün kılar. Bu, merkezi masaüstü yönetimi ve uzaktan çalışma için idealdir.

Citrix Virtual Apps and Desktops (eski adıyla XenDesktop) ve VMware Horizon arasında popüler platformlar bulunuyor.

5.Bulut Sanallaştırma Hizmetleri:

Bulut hizmetleri, sanallaştırma teknolojilerini temel alarak genellikle internet üzerinden sunulan bir dizi hizmetini ifade eder. Bu hizmetler, altyapı hizmetleri (IaaS), platform hizmetleri (PaaS) ve yazılım hizmetleri (SaaS) gibi çeşitli seçenekler sunulabilir.

Örnekler arasında Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) bulunur.

Sızma Testleri​

Sızma Testi Aşamaları Nelerdir?

Sızma testi aşamaları aşağıdaki gibi özetlenebilir:

  1. Bilgi Toplama:Sızma testi, bilgi toplama aşamasıyla başlar. Kötü niyetli hacker’lar gibi davranan sızma testi mühendisleri, hedef şirket, işletme hakkında mümkün olan tüm kaynakları toplarlar. Bu, ağ topolojisi, işletim sistemleri, uygulamalar, sunucular ve diğer bileşenler hakkında bilgi toplamayı içerebilir.
  2. Zafiyet Tespiti:Bilgi toplama aşamasının ardından, sızma testi uzmanları hedef kuruluşta zafiyetleri tespit etmek için otomatik araçlar kullanır ve manuel testler gerçekleştirir. Bu aşamada, açık portlar, güvenlik açıkları, zayıf şifreler gibi zafiyetler tespit edilir.
  3. Saldırı Girişimi:Zafiyetlerin tespit edilmesinden sonra, sızma testi uzmanları saldırı girişimlerinde bulunurlar. Bu, hedef kuruluşta bir saldırganın yapabileceği gibi davranmak anlamına gelir. Uzmanlar, saldırıları gerçekleştirmek için farklı teknikler kullanabilirler.
  4. Erişim Elde Etmek:Saldırı girişimlerinden sonra, sızma testi uzmanları erişim elde etmeye çalışırlar. Bu aşamada, hedef kuruluşta yönetici veya kullanıcı hesaplarına erişim sağlayarak, veri çalmak, sistemlere zarar vermek veya diğer saldırılar gerçekleştirmek gibi eylemlerde bulunabilirler.
  5. Raporlama:Sızma testi aşamalarının sonunda, uzmanlar raporlama yaparlar. Bu rapor, tespit edilen zafiyetleri, saldırı girişimlerini ve elde edilen sonuçları içerir. Raporda, kuruluşa öneriler de sunulur ve bu öneriler, kuruluşun güvenliğini artırmak için alınabilecek adımları belirler.

Not: Sızma testi aşamaları, yapılan sızma testinin türüne ve kapsamına göre değişiklik gösterebilir.

Sızma Testleri​

Sızma Testi Uygulama Yöntemleri

Sızma testi mühendisleri test işlemini gerçekleştirirken 3 farklı yöntem uygulanır. Bu yöntemler saldırı senaryolarında 

Sızma testi uygulayıcılarının saldırı kapsamlarını gösterir.

Beyaz Kutu Yöntemi: Bu uygulama türünde sistem yöneticisinin sahip olduğu bilgilere sahip olarak güvenlik değerlendirmesi yapılır. Bilgi toplama aşaması geçilir ve zafiyet tarama işlemleri ile devam edilir.

Siyah Kutu Yöntemi: Bu yöntem türünde sistem hakkında herhangi bir olmaksızın dışarıdan yapılan güvenlik değerlendirmesidir. Gerçek saldırgan bakış açısı ile yapılır.

Gri Kutu Yöntemi: Bu yöntem türünde ağ içerisinde bulunan veya sistemdeki herhangi bir hizmeti kullanan çalışanların veya yüklenicilerin erişim yetkilerinin değerlendirildiği güvenlik testi yöntemidir.

Sızma Testi Türleri

Sızma Testi sürecinde iki yaklaşım ile saldırı senaryolarına yön verilir. Bunlar;

Birincil Yaklaşım

Aktif Saldırı: Sızma testinde sistemin genel güvenlik düzeyini gizlilik , bütünlük ve erişilebilirlik çerçevesinde değerlendirmek ve bu sistemin güvenliğini tehlikeye atabilecek tüm olası sorunları tespit etmeye yönelik saldırı türüdür. Sistem veya ağ üzerinde değişiklik yapmak için yapılan saldırılardır. 

Pasif Saldırı: Sızma testinde bilgi toplama ve sınıflandırma amacıyla gizli ve yıkıcı olmayan tekniklerin kullanıldığı saldırılardır.

İkincil Yaklaşım

İç Saldırılar: Organizasyonun güvenlik şemsiyesinin içinde yer alan kullanıcılar, sistemlerin oluşturduğu alana yapılan saldırılar. 

Dış Saldırılar: İnternet veya uzaktan erişim gibi kurum dışı saldırılardır.

Sızma Testinde Uygulanan Standartlar

Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;

  1. OWASP (Open Web Application Security Project)
  2. OSSTMM (The Open Source Security Testing Methodology Manual)
  3. ISSAF (Information Systems Security Assessment Framework) NIST SP800-115
  4. PTES (Penetration Testing Execution Standart)
  5. Fedramp (The Federal Risk and Authorization Management Program)
OWASP (Open Web Application Security Project)

Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir  ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur. (.www.owasp.org/index.php/about_the_open_web_application_security_project, Erişim Tarihi: 17 Aralık 2018)Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur. 2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.11 ana madde altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır.

Bunlar;

1. Bilgi toplama 2. Yapılandırma ve Dağıtım Yönetimi Testi 3. Kimlik  Yönetimi Testi 4. Kimlik Doğrulama Testi 5. Yetkilendirme Testi 6. Oturum Yönetimi Testi 7. Giriş Doğrulama Testi 8. Hata Giderme Testi 9. Zayıf Kriptografi Testi 10. İş Mantığı Testi 11. İstemci Tarafı Testi

OSSTMM (The Open Source Security Testing Methodology Manual)

2001 yılının ocak ayında ISECOM (Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır. Anahtar bölümleri şu şekilde sıralanır.

Operasyonel Güvenlik Metrikleri Güven Analizi;

  1. İş akışı
  2. İnsan Güvenliği Testi
  3. Fiziksel Güvenlik Testi
  4. Kablosuz Güvenlik Testi
  5. Telekomünikasyon Güvenlik Testi
  6. Veri Ağları Güvenlik Testi
  7. Uyum Mevzuatı
  8. STAR (Güvenlik Testi Denetim Raporu) ile Raporlama
ISSAF (Information Systems Security Assessment Framework)

Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır. Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir. Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.

NIST SP800-115

Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunmasıdır. Ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilirler. Beş ana başlıktan oluşur.

Bunlar;

  1. Hedef Tanımlama ve Analiz Teknikleri
  2. Hedef Güvenlik Açığı Doğrulama Teknikleri
  3. Güvenlik Değerlendirme Planlaması
  4. Güvenlik Değerlendirme Faaliyetleri
  5. Test Sonrası Faaliyetler
PTES (Penetration Testing Execution Standart)

Açık kaynak bir proje olan Sızma Testi Yürütme Standardı, 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır. Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:

  1. Ön Sözleşme
  2. İstihbarat toplama
  3. Tehdit Modellemesi
  4. Güvenlik Açığı Analizi
  5. İstismar Süreci
  6. İleri Sömürü Aşaması
  7. Raporlama

SORULARINIZ MI VAR?

Hakkımızda daha fazla bilgiye sahip olmak, IT ve Network Danışmanlığı, Siber Güvenlik Danışmanlığı, Penetrasyon Testleri hakkında bilgi almak için bizimle iletişime geçin.