Sızma testi kavramı, bir şirketin bilgi güvenliğinin etkileşimini ve güvenliğinin seviyesini belirlemek için yapılan bir güvenlik testidir.
Bulut Çözümleri ve diğer iş çözümlerimiz hakkında bilgi sahibi olmak için bize ulaşın.
Sızma Testi diğer adıyla penetrasyon testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir. Kişisel Verilerin Korunması Kanununa Uyum sürecinde özellikle teknik tedbirler kısmında olmaz sa olmazlardan biri olan Sızma Testi, uluslararası standartlara göre uzman bir ekip tarafından yapılmaktadır. Aşağıda da ifade edildiği gibi, yapılacak sızma testinin uluslararası uygulama yöntemleri bulunmaktadır. Uygulama için çeşitli yazılımlar gerekmektedir. Adeta, bir hacker gibi davranarak, işletmenin bilişim sistemlerine saldırı senaryoları yapılarak, zayıf noktalarının tespit edilmesi ve ardından bu zafiyetlerin giderilmesi işlemleridir denilebilir.
Sızma testi kavramı, bir şirketin bilgi güvenliğinin etkileşimini ve güvenliğinin seviyesini belirlemek için yapılan bir güvenlik testidir. Şirketlerin sızma testleri yaptırması birçok fayda sağlar:
Bu sebeplerden dolayı, birçok işletme sızma testleri yaptırarak bilgi güvenliği ve iş sürekliliği açısından daha güvenli bir ortam yaratmak isterler.
Birçok işletmede, sızma testleri yıllık olarak yapılması gereken bir yasal gereklilik olabilir. KVKK, GDPR gibi regülasyonlar periyodik olarak yapılmasını tavsiye ediyor. Bunun yanı sıra, kuruluşların yeni bir uygulama veya sistemi devreye almadan önce, mevcut bir sistemi önemli ölçüde değiştirmeden önce veya bir güvenlik ihlali yaşandıktan sonra sızma testleri yapmaları önerilir. Ayrıca, kuruluşların risk profilinin değiştiği durumlarda, örneğin yeni bir ofis açtıklarında veya birleşme veya satın alma işlemi gerçekleştirdiklerinde de sızma testleri yapmaları gerekebilir. Sızma testlerinin yapılacak sıklık ve aralık, kuruluşların güvenlik ihtiyaçlarına göre belirlenir. Yüksek riskli sektörlerde faaliyet gösteren kuruluşlar, sızma testlerini daha sık yaptırmalıdır. Ayrıca, kuruluşların mevcut güvenlik önlemlerinin etkinliğini sürekli olarak izlemeleri ve gerekli görülürse sızma testleri yapmaları önerilir.
1.Sanal Sunucu Sanallaştırma:
Bir fiziksel sunucunun birden fazla sanal sunucuya sunulmasını sağlar ve kişinin bağımsız bir çalışma sistemi gibi davranmasını sağlayan bir teknolojidir.
Her sanal sunucu, bağımsız bir işletim sistemi ve uygulama yüküne sahip gibi davranır.
Popüler sanal sunucu sanallaştırma platformları arasında VMware vSphere/ESXi, Microsoft Hyper-V ve Xen bulunmaktadır.
Bu sunucu kaynakları sayesinde daha verimli bir şekilde kullanılabilir ve farklı uygulamlar veya iletişim sistemleri aynı fiziksel sunucu üzerinde çalışabilir.
2.Sanal Depolama Sanallaştırma:
Fiziksel disk sürücülerinin sanal depolama depolamasını dönüştürerek daha fazla depolama kapasitesi ve dayanıklılık sağlar. Bu model, veri depolama ve yedekleme işlemlerini gerçekleştirir.
Bu sayede veriler daha etkili bir şekilde yönetilebilir ve depolama kaynakları daha verimli bir şekilde kullanılabilir.
Örnekler arasında VMware vSAN ve Microsoft Storage Spaces bulunur.
3. Sanal Ağ Sanallaştırma:
Ağ kaynaklarını soyutlayarak sanal ağlar oluşturmayı sağlar. Bu, ağ politikasını düzenleme ve güvenlik politikalarını uygulama gücünü artırır.
Bu teknoloji, ağ aktarımını yönlendirme, güvenlik politikalarının uygulaması ve kaynaklar daha esnek bir şekilde ölçeklendirme yeteneğini sağlar.
Örnekler arasında Cisco ACI (Application Centric Infrastructure) ve VMware NSX bulunur.
4. Sanal Masaüstü Sanallaştırma:
Kullanıcıların sanal mobil bilgisayarlarını uzaktan erişim sağlayarak kullanmalarını mümkün kılar. Bu, merkezi masaüstü yönetimi ve uzaktan çalışma için idealdir.
Citrix Virtual Apps and Desktops (eski adıyla XenDesktop) ve VMware Horizon arasında popüler platformlar bulunuyor.
5.Bulut Sanallaştırma Hizmetleri:
Bulut hizmetleri, sanallaştırma teknolojilerini temel alarak genellikle internet üzerinden sunulan bir dizi hizmetini ifade eder. Bu hizmetler, altyapı hizmetleri (IaaS), platform hizmetleri (PaaS) ve yazılım hizmetleri (SaaS) gibi çeşitli seçenekler sunulabilir.
Örnekler arasında Amazon Web Services (AWS), Microsoft Azure ve Google Cloud Platform (GCP) bulunur.
Sızma testi aşamaları aşağıdaki gibi özetlenebilir:
Not: Sızma testi aşamaları, yapılan sızma testinin türüne ve kapsamına göre değişiklik gösterebilir.
Sızma testi mühendisleri test işlemini gerçekleştirirken 3 farklı yöntem uygulanır. Bu yöntemler saldırı senaryolarında
Sızma testi uygulayıcılarının saldırı kapsamlarını gösterir.
Beyaz Kutu Yöntemi: Bu uygulama türünde sistem yöneticisinin sahip olduğu bilgilere sahip olarak güvenlik değerlendirmesi yapılır. Bilgi toplama aşaması geçilir ve zafiyet tarama işlemleri ile devam edilir.
Siyah Kutu Yöntemi: Bu yöntem türünde sistem hakkında herhangi bir olmaksızın dışarıdan yapılan güvenlik değerlendirmesidir. Gerçek saldırgan bakış açısı ile yapılır.
Gri Kutu Yöntemi: Bu yöntem türünde ağ içerisinde bulunan veya sistemdeki herhangi bir hizmeti kullanan çalışanların veya yüklenicilerin erişim yetkilerinin değerlendirildiği güvenlik testi yöntemidir.
Sızma Testi sürecinde iki yaklaşım ile saldırı senaryolarına yön verilir. Bunlar;
Birincil Yaklaşım
Aktif Saldırı: Sızma testinde sistemin genel güvenlik düzeyini gizlilik , bütünlük ve erişilebilirlik çerçevesinde değerlendirmek ve bu sistemin güvenliğini tehlikeye atabilecek tüm olası sorunları tespit etmeye yönelik saldırı türüdür. Sistem veya ağ üzerinde değişiklik yapmak için yapılan saldırılardır.
Pasif Saldırı: Sızma testinde bilgi toplama ve sınıflandırma amacıyla gizli ve yıkıcı olmayan tekniklerin kullanıldığı saldırılardır.
İkincil Yaklaşım
İç Saldırılar: Organizasyonun güvenlik şemsiyesinin içinde yer alan kullanıcılar, sistemlerin oluşturduğu alana yapılan saldırılar.
Dış Saldırılar: İnternet veya uzaktan erişim gibi kurum dışı saldırılardır.
Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;
Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur. (.www.owasp.org/index.php/about_the_open_web_application_security_project, Erişim Tarihi: 17 Aralık 2018)Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur. 2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.11 ana madde altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır.
Bunlar;
1. Bilgi toplama 2. Yapılandırma ve Dağıtım Yönetimi Testi 3. Kimlik Yönetimi Testi 4. Kimlik Doğrulama Testi 5. Yetkilendirme Testi 6. Oturum Yönetimi Testi 7. Giriş Doğrulama Testi 8. Hata Giderme Testi 9. Zayıf Kriptografi Testi 10. İş Mantığı Testi 11. İstemci Tarafı Testi
2001 yılının ocak ayında ISECOM (Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır. Anahtar bölümleri şu şekilde sıralanır.
Operasyonel Güvenlik Metrikleri Güven Analizi;
Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır. Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir. Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.
Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunmasıdır. Ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilirler. Beş ana başlıktan oluşur.
Bunlar;
Açık kaynak bir proje olan Sızma Testi Yürütme Standardı, 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır. Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:
Hakkımızda daha fazla bilgiye sahip olmak, IT ve Network Danışmanlığı, Siber Güvenlik Danışmanlığı, Penetrasyon Testleri hakkında bilgi almak için bizimle iletişime geçin.
Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.