Sızma Testi Nedir?
Sızma testi nasıl yapıldığı konusunda ve ne olduğunu hakkında sizlere şu şekilde açıklayalım. Kötü niyetli hamleler içerir , sistemlere verilere zarar verebileceği için bu zararları önceden görebilmek için önlemleri almamızı amaçlayan saldırı simülasyonudur. Şahısların mühim bir güvenlik açıklığı tespit sürecidir ve firmaların siber zayıflıkları tespit edebilmek için öncellikle kullandığı temel yöntemdir. Penetrasyon, wifi ağlarımızda ve sistemlerinizdeki karşı savunmasız gücü olmayan yerlerini keşfedilmesi ve onları meydana yakınlaşması ile sisteminize karşı simüle edilmiş bir siber saldırının başlatılmasını içerir. Hizmetlerinizden güvenlik duvarınıza ve API’lerinize kadar her şey penetrasyon grubu maksadıyla geçerli bir amacı olabilir.
En çok hedeflenen sistem güvenlik açıklarından bazıları aşağıdakileri içerir:
- Zayıf veya kusurlu yapılandırma
- Güncel ve mevcut yazılım güvenlik açıkları
- Sunucularla ilgili bilinen ve bilinmeyen kusurlar
- Zayıf dijital güvenlik yanıt protokolleri
- Düşük siber güvenlik kullanıcı farkındalığı
- Kullanılmayan uygulamalar veya işletim sistemleri
Kullanılan sistemlerle herhangi biri elverişli bir şekilde sızarsa, bu size siber güvenlik zayıflıklarınızın ne zaman olduğu ve bunlardan oldukça basit yararlanılabileceği hususunda faydalı bilgiler verecektir. Bu bilgilerin, siber güvenlik stratejinizi geliştirmek ve ağınızı korumaya faydalı olmak için kullanabilmekteyiz.
Sızma Testi Türleri nelerdir?
Saldırının türü, testi kimin yürüttüğü ve test ekibine sistem hakkında verilen bilgi seviyesi gibi bir dizi değişkenlere ait olarak çeşitli sızma testleri ve biçimleri vardır.
1. Farkındalık Düzeyine Sızma Testi Çeşitleri
Verilirin ve yöntemle ilgili olarak az çok bilgi verilebileceğinden çoğunlukla değiştirebiliriz. Yöneticilerinin testleriyle ilişkin bir bilgi sahibi olup olmadığı ve test edilen şeyin ne kadar bildiğini de değişken olarak kullanılabilir.
Kara Kutu Testi (Black Box Testing)
Öncelikle, sızma testi yapanlar için en güçlü varyasyondur. Yöntem hakkında tek bir bilgiye dahil sahip olmayacaklardır ve tıpkı gerçek bir siber saldırganların yapacağının benzerisi olmasıyla, tam anlamıyla yabancı olmasıyla sistemi zarar vermeye çalışır.
Blind testing: Kullanıcılarına ise sistemle ilişkin önceden bilgi verilmesi doğru değildir, ya da çalışacakları çok sınırlı bir miktar bilgi (sadece firmanın adı) verilir. Şirketlerde ise personellere bir sızma testi yapıldığının farkındadır.
Double-blind testing: Bu sistemle kara kutu testini diğer seviyeye taşır. Double-blind testi yapanlar sistemle ilişkili hiçbir şey bilmez ve amaç ise firmanın personelleri ise testten haberdar değildir. Sızma testi ilişkili sadece işin ancak bir ya da iki kilit üyesinin bilgisi olduğuna göre gerçek bir siber saldırı gibi herkesi buna hazırlıksız yakalayabilir.
Avantajları: Kara kutu testi, gizlemli bir siber saldırının sonucundan nelerin ortaya çıkarılacağı ve şirketimiz üzerindeki izlenim hakkında size doğru bir düşünce verir. Güvenlik açığı tespitine yaklaşmanın en gerçekçi yöntemi ve sisteminizdeki zayıflıklarla dair öncesinde bilgisi olmadığında hemen başlamak iyi bir yerdir.
Dezavantajları: Kara kutu testi, sızma testi edenler için daha yüksek bir maliyete sebep olabilecek aşırı çok keşif süresi gerektirebilir.
Beyaz Kutu Testi (White Box Testing
Mevcut güvenlik protokollerinden ve şebeke temelinde, bilinen mevcut güvenlik açıklarına ve sistemin yönelme olduğu için yanlış yapılandırmalara gibi her şeye erişebilir.
Test etmek amacıyla aynı anda çalışan test edicilerden ve firma güvenlik uzmanlarından oluşan amacı bir sızma testidir. ayrıca diğer taraf sızmaya ve öbürü savunmaya çalışır. Bu çeşit bir çalışma, personellerin kendi eylemlerini doğru zamanlı olarak hackerlerin gözünden görmeleri için kusursuz bir yoldur.
Avantajları: Beyaz kutu testi aşırı detaylı olduğu için, sistemin en yüksek niteliğiyle güvenlik açıklarını kazançlı şekilde keşfetmenize imkân tanır. Testi yapanlar bir kara kutu testinden fazlasıyla bilgiye sahip olduklarından, belirli sorunları amaçlamak ve çeşitli yollardan detaylı olarak araştırmak artık kolaydır.
Dezavantajları: Beyaz kutu testi, nitelikli bilgi ve özel araçlar gerektirir ve detaylı yapısı sebebiyle tamamlanması artık uzun sürmektedir.
en iyi savunma sonuçlarını elde etmek amacıyla hem beyaz kutu hem de kara kutu yöntemlerinden bir bağlanma gereklidir.
Bu nedenle, bazı pentest yapanlar bir uzlaşma olarak “Gri Kutu – Grey Box” yöntemleri kullanır. Bu yüzden sıfırdan başlamazlar, yalnız aynı zamanda daha amaçlı bir eylem niteliğine sahiptirler.
2. Kaynağa Sızma Testi Türleri Nelerdir?
Siber saldırılar hem dışındaki hem de kapsayan kaynaklardan gelmektedir. Üstelik Sızma testleri uygun bir seçenektir.
1. Harici Test
Harici test, bir IP adresi bankasının test edilmesidir. Sistemin ,kişilerin yanlışları ve hata yapılandırmalar nedeniyle daha yüksek riske karşı karşıya gelmektedir.
2. Dahili Test
Saldırıyı simüle etmek için kapsayan bir penetrasyon testi tasarlanır; bu, saldırganın kapsayanın kimlik bilgilerine erişebileceği anlamına gelir. Saldırılar, aktif olarak firmaya hasar vermeye çalışan hoşnutsuz bir personelle,kimlik avı ya da diğer veri kurallara uyulma yöntemleri tarafından oturum açma bilgilerini çalarak içeren bilgilere erişimi elde eden bir hacker ile ilgili olabilir
Penetrasyon Testinin Aşamaları Nelerdir?
Her kim olursa bir kendine özgü penetrasyon testini tamamlanması gereken beş asıl adım vardır:
1. Kapsam belirleme ve bilgi toplama işlemi
Her kim olursa olsun bir işlem yapılmadan önce hedefle ilişkin yeterli bilgi toplama işlemi tamamlanmalıdır.
2. Zafiyet tarama
Araştırma aşamasının ardından, güvenlik sistemlerinin birçok zarar verme girişimlerine nasıl karşı koyacağını açıklanması açıklamıştır. Penetrasyon Testi yapanlar ise sisteme türlü bilgi paketleri gönderir ve nasıl cevap verildiğini görür.
3. Sisteme sızma nedir?
Penetrasyon testi yapanlar güvenlik açıklarından faydalanmak amacıyla SQL gibi yaygın web uygulaması saldırılarından faydalanır. Erişim elde edildikten sonra, testi yapanlar kötü amaçlı bir saldırıdan kaynaklanabilecek olası zararların kapsamını özenti olmaya çalışır.
4. Erişimi koruma
Etik hackerler, sisteme girdikten sonra, olası olduğu amacıyla uzun süre bilgi çekmelerini sağlayacaktır. Erişimi korumanın bir yolunu arar. Bir Truva Atı kurmak, bir sistemin içine kod yerleştirmenin ve onu etkin olarak arka planda kesintiye sebep olacak şekilde tutmanın şahane bir yolu vardır. Kesiklikle, tespit edilmekten önce tolerans yapılmalıdır, dolasıyla kimse güvenlik bozulduğunun farkında olmadığı sürece hiç kimse onu düzeltmeye çalışmayacaktır.
Başlangıç noktalarını güvenceye almaya ve şimdiye kadar birçok erişimi, açık tutmaya çalışabilir sisteme kod yazabilir ve bunu istedikleri zaman içeri girmelerine izin verilebilir.
5. Analiz ve Raporlama
Son olarak, sızma testi ekibi testin sonuçlarını analiz eder. İşletmenin yararlı bilgilerini hedeflenmesidir. Rapor, test ekibi aracığıyla kullanılan sistemleri, tespit edilen güvenlik açıklarını ve bunların nasıl düzeltilebileceğine ait önerileri açıklamalıdır. Diğer durumlarda, önerilen değişiklikler yerindeyken sistemin yeniden test edilmesini içeren yedinci bir sızma testi adımı vardır.
Penetrasyon Araçları
Karşılıklı ödemeden alınan veya açık kaynaklı yazılımı ile penetrasyon uzmanları, maliyet konusunda kuşkusuzca kodu uygun gördükleri şekilde uygulama ve değiştirme özgürlüğüne sahip olacaklardır.
Üstelik, hackerler topluluğunda pek çok kod açıkça paylaşıldığından sonra, penetrasyon testi yapanların ve hackerler çoğunlukla aynı araçları kullanmasına destek olur.
Penetrasyon Testi Ne Zaman Yapılmaktadır
Siber güvenliğini devam etmesini sağlamak amacıyla yılda en az iki kez gerçekleştirilen düzenli test olmalıdır ve üç ayda bir yapılan bir uygulama durumunda da getirilebilir ve güvenlik açığı ölçümlemeler daha sık yapabilirsiniz.
Sızma testi söz konusu olduğunda “hepsine uyan tek bir çözüm yolu” yoktur, bunların tamamı şirketlerin büyüklüğüne, bütçesine ve üstelik kendi sektörünüzdeki düzenlemelere bağlıdır. Mesela veri koruma kanunları veri güvenliği standartlarına uygun kalmak amacıyla işletmelerin kanunen daha sık penetrasyon yaptırmaları gerekmektedir
İşletmenizin Neden Bir Penetrasyon Testine İhtiyacı Var?
Siber güvenliği güncel tutmak amacıyla, güvenilirliğiniz ve işinizin sorunsuz şekilde yürütülmesi önemlidir bunları gerçekleştirmek güvenlik açısında önemli yarar sağlayacaktır:
- Kişisel veriler ve finansal bilgiler gibi yüksek tehlikeli amaçları belirleme.
- Sisteminizdeki savunmasız bozulmasına karşı gelme noktalarını ortaya çıkarma
- Mevcut kodda yanlış bulma.
- Siber güvenlik farkındalık eğitimi gereksinimi belirleme.
- Siber güvenlik duruşunuzu iyileştirme.
- Sektörünüzdeki güvenlik standartlarıyla uygunluk sağlama.
- Güvenlik açığı yorumlama yeterliliğini doğrulama.
Hazırlayan: Seyhan ÖZKAYA
