Sızma testi, gerçek dünyada siber suçlular tarafından kullanılan teknikleri kullanarak bir kuruluşun bilgi altyapısına sızmaya ve onu ele geçirmeye çalışır. Bu sayede Sızma testi yapan korumalar, gerçek bir saldırı tespit edildiğinde sistem açıklarını ortadan kaldırmayı sağlar. Böylece güvenliğin artmasını sağlar. Ayrıca izinsiz giriş ve sistem kaçırma senaryolarını kullanan ve bir davetsiz misafirin deneyebileceği tüm yöntemleri deneyen bir bilgisayar korsanı gibi hareket eder. Sızma testi, lisanslı veya açık kaynak araçları kullanır ve kuruluşa özel manuel testler ve otomatik tarama araçları aracılığıyla tüm güvenlik açıklarını belirler.
Sızma testlerinin amaçları:
- Şirketin güvenlik politikalarının ve kontrollerinin etkinliğini test edin ve gözden geçirin.
- Güvenlik açığı taramalarının dahili ve harici olarak derinlemesine uygulanması
- Standartlara uyum için veri toplayan denetim ekiplerine faydalı veriler sağlayın.
- Şirketin güvenlik fonksiyonlarının kapsamlı ve ayrıntılı bir analizini sağlayarak güvenlik denetimlerinin maliyetini azaltmak
- Bilinen güvenlik açıkları için yamayı sistematize edin
- Şirketin ağlarında ve sistemlerinde var olan riskleri ve tehditleri keşfedin.
- Güvenlik duvarları, yönlendiriciler ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirin.
- Gelecekteki saldırıları, sızmaları ve istismar girişimlerini önlemek için alınacak önlemleri tanımlayan kapsamlı bir plan sağlayın.
- Mevcut yazılım, donanım veya ağ altyapınızın değiştirilmesi veya güncellenmesi gerekip gerekmediğini belirleyin.
- Sızma testi öncesinde şirketin ağın maruz kalabileceği başlıca tehditleri ortaya çıkaracak bir risk değerlendirmesi yapması önemlidir.
Risk değerlendirmesine alınması gereken sistemler:
- İletişim ve e-ticaret hizmetleri, hassas bilgilerin iletilmesi ve saklanması için sistemler
- Web siteleri, e-posta sunucuları, uzaktan erişim platformları
- DNS güvenlik duvarları, parolalar, FTP, IIS ve web sunucuları
- Önemli Üretim Sistemleri
- Özel sistemler
Sızma Testinin Süreçleri
Sızma testlerini standart hale getirmek için 2010 senesinde oluşturulan Penetration Testing Execution Standard (PTES) bu testleri 7 aşamada gerçekleştirir:
- Anlaşma Öncesi Etkileşimler: Testlerdeki kullanılan yöntem ve araçları listeleyerek testin kapsamı, ne kadar sürdüğü, neyin test edildiği hesaplanır. Ayrıca ek hizmetlere karara bağlanır.
- Bilgi Toplama: Hizmet alan kuruma yönelik stratejik bir saldırı planı oluşturmak için kurumun giriş noktaları hakkında bilgi toplanır.
- Tehdit Modellemesi: Varlıkların tanımlanmasıyla olası tehditler açığa çıkar. Sonrasında kuruluşun varlıkları ve saldırganlarına odaklanmak için bir tehdit modellemesi oluşturulur.
- Güvenlik Açığı Analizi: Saldırganların sistem ve uygulamadaki kullanacağı güvenlik açıkları saptanır.
- İstismar: Güvenlik kısıtlamalarını aşarak sistem ve kaynaklara erişim sağlanır. Böylece kurumun ana giriş noktası ve değerli varlıkların listesi hazırlanır.
- İstismar Sonrası: Güvenliği ihlal edilmiş makinede bulunan bilgilerin değeri belirlenir. Ağdaki diğer hedefler tarafından kullanılmak üzere makinenin kontrolü sürdürülür.
- Raporlama: Testle ilgili tüm teknik detayları ve test için kararlaştırılan bileşenleri içeren bir rapor hazırlanır. Bu rapor testin kapsamını, bilgileri, saldırı tekniğini, kullanılan yöntemleri, etki ve risk derecesini ayrıca iyileştirme önerilerini içerir.
Sızma Testinde Yaklaşım Biçimleri
Blackbox Yaklaşımı: Bilgi Güvenliği Uzmanı, sızma testinin yapıldığı sistem hakkında herhangi bir ön bilgi almaz.
Whitebox Yaklaşımı: Bilgi Güvenliği Uzmanı, firma içindeki bütün sistem hakkında bilgilendirilir.
Graybox Yaklaşımı: Blackbox ile Whitebox arasında bir test yaklaşımıdır. Ayrıca Bilgi Güvenliği Uzmanı, sistem hakkında bilgilendirilse de detaylara hakim olmaz.
Sızma Testi Türleri
Oldukça geniş çaplı bir alanda sızma testleri yapılmaktadır. Örneğin; Web uygulamaları, ağ, mobil, DOS/DDoS, kablosuz, sosyal mühendislik alanlarında testler sürdürülür.
