Dış ağ sızma testinin amacı siber suçluların bir şirketin bilgi sistemlerine erişmek ve yasa dışı olarak özel bilgileri elde etmek için kullanabilecekleri olası veya mevcut güvenlik sorunlarını belirlemek, değerlendirmek ve ele almaktır. Bunun yanında bir sisteme erişmeye çalışan dış kaynakları belirlemeyi ve engellemeyi amaçlayan güvenlik duvarının etkinliğini test etmektir. Firmaların sistemlerine üçüncü kişilerin erişimi ve veri toplaması firmanın bünyesinde çok ciddi zararlara yol açmaktadır. Teknoloji şirketi IBM ve Ponemon Enstitüsü tarafından yürütülen “Cost of a Data Breach” başlıklı araştırmaya göre, tek bir veri ihlalinin mevcut ortalama maliyeti 3,9 milyon dolar. Bu sebeple sistem bilgilerinin güvenliği hayati önem taşımaktadır.
Sistem güvenliğini dış etkenlere karşı korumaya yönelik önemli bir adım olan Dış ağ sızma testlerinin firmalara birçok katkısı bulunmaktadır. Bunlardan bazıları şu şekildedir:
- Uzaktaki bir saldırganın halka açık sistemleri nasıl tehlikeye atabileceğine dair görünürlük.
- Gerçek risklere dayalı olarak güvenlik harcamalarına nasıl öncelik verilmesi gerektiğine dair iç görü.
- Bir saldırının nasıl meydana gelebileceğini anlamak, olası risklere göre bir olay müdahale planı formüle etme fırsatı sağlar.
Dış Ağ Sızma Testi Nasıl Yapılır?
Adım 1: Planlama
Dış ağ sızma testinde, test eden kişi genellikle mümkün olduğu kadar çok bilgi toplama işlemi gerçekleştirerek başlar. Bu işlem; açık bağlantı noktalarının taranmasını, güvenlik açıklarını ve hatta parola saldırılarında kullanılmak üzere bir kuruluşun personeline ilişkin genel bilgileri içerir. Bir organizasyonun dış çevresi başarılı bir şekilde ihlal edildiğinde, test eden kişi, sızma testi ile sisteme girerek devam edecektir.
Adım 2: Keşif ve Hedef Tarama
Sistem hakkında yeterli bilgi toplayan test elemanı sistemde güvenlik açığı arayışına girer. Bulunan açıkların değerlendirilmeleri yapılır ve hedef ağdaki siber suçlular tarafından yasadışı bir şekilde erişim elde etmek için kullanılabilecek zayıf noktaların belirlenerek bunlara dikkat edilmemesi durumunda potansiyel güvenlik riskleri ölçülür. Dış ağ sızma testi cihazı ön verileri toplamak ve hedeflenen bir siber saldırı ile gelebilecek çeşitli girdilere sistemin nasıl yanıt vereceğini kaydetmek için hedef ağa sondalar gönderecektir. Bu aşamanın sonuçları aşağıdakileri içerebilir:
- Belirli bir sunucudaki bir dizinin yapısını anlama
- Belirli bir ağdaki paylaşılan veya açık sürücüleri tanımlayın
- FTP web sunucularına kimlik doğrulama erişimi sağlayın
- Hata mesajları aracılığıyla mevcut SMTP erişim noktalarını belirleyin
- Kötü amaçlı komut dosyalarını imzalamak ve iletmek için kullanılabilecek kod imzalama sertifikalarını tam olarak belirleyin
Bu çıktıları belirlemeye yardımcı olan bazı test cihazları bulunmaktadır. SAST ve DAST bunlara örnektir. SAST araçları, bilgi güvenliğine yönelik olası tehditlerle sonuçlanabilecek zayıflıkları belirlemek ve işaretlemek için hareketsiz olan kaynak kodlarını yakından inceler. DAST araçları ise bir uygulama çalışırken bile güvenlik açıklarını belirleyebilir ve bir uygulamada fuzzing yöntemlerini kullanabilir veya çok sayıda beklenmedik veya geçersiz test senaryosunu yönlendirebilir.
Bu nedenle DAST araçları, diğerlerinin yanı sıra komut dosyası oluşturma, kimlik doğrulama, oturumlar ve veri yerleştirme ile ilgili sorunları belirleyebilir.
Adım 4: Erişim Kazanma
Sızma testinde bu adım, veri ve bilgi toplama aşamasının tamamen test edileceği yerdir. Ancak hedef ağ içinde daha derinlemesine veri toplamak için de kullanılabilir. Bir ağ içinde tanımlanmış güvenlik açıkları olsa da, bunların mutlaka istismar edilebileceği anlamına gelmez. Bu nedenle, bu zayıflıkları önemlerine ve ayrıca kuruluşun operasyonları üzerindeki etki düzeylerine göre öncelik sırasına koymak önemlidir. Sistemin temel zayıflıkları usulüne uygun olarak tanımlanır. Daha sonra dış ağ sızma testi için kullanılan cihazın belirlediği güvenlik açıkları kullanılarak bir güvenlik duvarı, güvenli bir ağ veya belirli bir sistem güvenliğinden sorumlu kısımların verimliliği ölçülür. Burada yaygın olarak gözlemlenen güvenlik açıkları; hatalı veya güvenli olmayan bir cihaz, ana bilgisayar veya ağ yapılandırması, şifreleme ve kimlik doğrulama kusurları, güvenliği ihlal edilmiş kod veya komut enjeksiyonu ve kullanıcı oturumu yönetimindeki boşlukları içerir.
Adım 5: Erişimi Koruma
Bu adım esasında hırsız olarak girilen evde tespit edilmeden ne kadar kalınabileceği şeklinde betimlenebilir. Dış ağ sızma testi ile girilen sistemde tüm değişikliklere rağmen sürekli ve kalıcı bir şekilde barınabilmek, karmaşıklıklarına ve inceliklerine aşina olmasına ve siber suçluların gerçekte nasıl yapabileceğini incelemesine izin verecektir.
Adım 6: Operasyon
Bilgisayar ağlarına erişen cihazlar, mevcut güvenlik kısıtlamaları tarafından tespit edilip yakılmadan önce şirketin en değerli bilgilerini depoladığı alanlara ne kadar yaklaşabileceklerini görmeye çalışacaklardır. Bu adımda amaç gizli verilere erişebilmek için izlenilen ve yürütülmesi en az zaman alan tüm olası yolları belirlemek olacaktır. Bu yollardaki açıklar tespit edilmiş olur. Bu açıklar ile sisteme giriş denemeleri yapılır ve bu açıkların sonuçları gözlemlenir.
Adım 7: Raporlama
Sızma testi raporu; testin amacını, sisteme erişmek için uygulanan taktikleri ve teknikleri ve bunlara karşılık gelen risk seviyelerini açıkça açıklayan bir yönetici özeti ile başlamalıdır. Test sonunda toplanan gerçekler ve kanıtlar elde edilen güvenlik açıkları ve buna bağlı risklerin kuruluşlarının itibarını ve faaliyetlerini nasıl etkileyebileceğini ve durumu düzeltmek için hangi kaynakların gerekli olacağını gösterir.
Raporun ikinci kısmı, sızma testi sırasında keşfedilen tüm güvenlik sorunlarını etkin bir şekilde çözmeye çalışan kuruluşun BT güvenlik ve güvenlik ekibi için faydalı olacak özel teknik bilgiler sağlayacaktır.
