Sızma – Penetrasyon testi, kötü niyetli bir saldırganın bakış açısından hedeflenen sistemlere ve verilere yetkisiz erişim elde etmeye çalışan bir saldırı simülasyonudur. Penetrasyon – sızma testi, dışarıdan gelebilecek olası saldırıları öngörmek ve önlem almak için yapılmalıdır.
Sızma (Penetrasyon) Testi Alanında uzman kişiler tarafından, saldırganın elinde bulunan araç ve yöntemler kullanılarak kuruluşların BT altyapısının tüm sistemlerine sızması ve sonuçların raporlanmasıdır.
Sızma Testi Süreçleri Nasıl Yürütülür?
Test edilecek hedef sistemler müşteri tarafından tanımlanır ve test edilecek sistemler hakkında test organizasyonuna bilgi verilir. Gerekli sözleşmeler imzalandıktan sonra, farklı IP adreslerinden gelen saldırıların deneysel olup olmadığının anlaşılabilmesi için test sitesinin IP adresi müşterinin onayı ile müşteri ile paylaşılacaktır. Test başlatılır, kritik sonuçlar test sırasında müşterilerle paylaşılır, test sonu ve test sonunda kritik sonuçlarla düşük seviyeli bulgular/zafiyetler raporlanır.
Sızma Testinin Adımları Nelerdir?
1. Kapsam tanımı
Müşteri, test etmek istediği hedefi/kapsamı tanımlar. Test yaklaşımının türüne göre (Kara Kutu, Beyaz Kutu, Gri Kutu) testi yapacak firma ile bilgi paylaşılır.
Bilgi toplama
Pasif (sistemle doğrudan etkileşimde olmayan) ve aktif (sistemle doğrudan etkileşimde olmayan) kapsam/hedef üzerinde bilgi toplama işlemi gerçekleştirilir. Bunlar; Kullanılan teknoloji, uygulama ve sürüm bilgileri, fonksiyonlar gibi bilgiler örnek olarak verilebilir.
Güvenlik açığı tespiti
Bu, toplanan bilgilere göre mevcut güvenlik açıklarının belirlendiği aşamadır. Sistemler, analiz sonrasında / sırasında uzmanlar tarafından manuel olarak kontrol edilen otomatik araçlar kullanılarak analiz edilir. Tarama aşamasında keşfedilen hizmet ve sürüm bilgileri araştırılacak ve mevcut güvenlik açıkları için kontrol edilecektir.
Bilgilerin analizi ve planlama
Belirlenen güvenlik açıklarından yararlanmak için gerekli araştırmalar yapılmış, exploit kodu, malware gibi saldırı araçları hazırlanmıştır.
Sömürü aşaması
Keşfedilen güvenlik açıklarından olumlu bir görünüm ve güvenlik açığının test edilen sistem üzerindeki etkileri ile yararlanılmaya çalışılır. Bir saldırgan sisteme yetkisiz erişim sağlayabilir mi? Hizmeti durdurabilir mi? Bu soruların cevapları aranmaktadır.
Yetki yükseltme/sömürü sonrası aşama
Saldırgan sisteme erişim sağladıktan sonra mevcut ayrıcalıklarını yükseltebilir mi? Yetkisiz dosyaları görüntüleyebilecek mi? Veya güvenliği ihlal edilmiş sistem(ler)i kullanmaya nasıl devam edilebilir? Hangi önemli dosyalara erişilebilir? Bu soruların cevapları aranmaktadır. Bir saldırganın, istismarın simülasyonu denendikten sonra yapacağı teknikler/taktikler/prosedürler.
Temizleme
Test edilen sistemde yapılan değişiklikler geri alınacaktır. Test için oluşturulan/indirilen dosyalar sistemden silinecektir.
Rapor
Yukarıdaki adımlar özetlenmiştir. Gelecekte ortaya çıkabilecek mevcut veya potansiyel riskler ve alınması gereken önlemler gibi bilgiler raporlanır.
Penetrasyon Testi Bize Ne Sağlar?
Çok değil 15 yıl önce bilgi güvenliğinin önemi anlaşılmıyordu ama bugün görüyoruz ki önleyici tedbirler için çok büyük bir pazar var. Özellikle ülkemizde 7 Nisan 2018 tarihinde uygulanmaya başlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte birçok yönden değişikliklerin olacağı görülmektedir. Pandemi ve diğer faktörler de birçok yönden siber güvenlik risklerini ortaya çıkardı.
Yasal Düzenlemelerde Sızma Testi Gerekliliği
Koşmaya başlamadan önce yürümeyi öğrenmelisiniz. Bir sızma testi yapmayı düşünmeden önce, bir sızma testi yapmanın neden gerekli olduğunu anlamanız gerekir. Bir kuruluşun genel bilgi güvenliğindeki olgunluğunun net bir görüşüne ek olarak, iş ihtiyaçlarının ve risklerinin kapsamlı bir şekilde anlaşılması gerekir. Bu görüşlere dayanarak sızma testi yapılabilir. Sızma testinin iş hedeflerine ulaşmak için doğru araç olup olmadığını ve kuruluşun bu sızma testinin sonuçlarından yararlanmaya istekli olup olmadığını değerlendirmek gerekir.
Her projede olduğu gibi, kuruluşların projeden en iyi şekilde yararlanmalarını sağlamak için belirli ön koşullar vardır. Penetrasyon testi bir istisna değildir. Birçok kuruluş, sızma testinin amacının teknik kusurları tespit etmek ve düzeltmek olduğuna inanmaktadır. Ancak, tanımlanan güvenlik açıklarını düzeltmek, bir kuruluşu daha güvenli hale getirmez. Aslında, bir sızma testi genellikle kapsam, zaman, bütçe ve yaklaşım açısından sınırlıdır ve sızma testi sürecinde mevcut olan güvenlik açıklarını yansıtır.
Kuruluşlar, risk iştahlarına ve tehdit aktörlerine göre uyarlanmış temel bir güvenlik düzeyine sahip olmalıdır. İlk olarak, bu derece, organizasyonun saldırdığı sistemlerin dinamikleri ve stresiyle başa çıkmak için gereklidir. İkincisi, penetrasyon testi ile tüm iş riski etkilerini, birikme risklerini, temel nedenleri ve öğrenilen dersleri anlamak gerekir.