Sızma testi günümüz dünyasında, birçok işletme, kurum ve kuruluş, bilgisayar ağları ve sistemlerini, çalışanları, müşterileri ve tüm dijital varlıklarını korumak için önemli güvenlik önlemleri almaktadır. Her zaman her şeyin mükemmel olması mümkün değildir ve sistemlerdeki güvenlik açıkları, bilgi hırsızlığı, kimlik avı, kötü amaçlı yazılım ve diğer çeşitli siber saldırılar için zayıf noktalar oluşturabilir.
Bu nedenle, bilgi teknolojileri güvenliği uzmanları, sızma testi adı verilen kontrollü bir saldırı yöntemi kullanarak, bir sistemin veya ağın güvenlik açıklarını tespit etmek ve bu açıkları gidermek için çaba gösterirler. Sızma testi konusu ele alınacak ve bu testin ne olduğu, nasıl yapılır, farklı türleri ve ne gibi faydaları olduğu hakkında bilgi verilecektir.
Sızma Testi Nedir?
Sızma testi, bir sistem veya ağdaki güvenlik açıklarını tespit etmek ve gidermek için yapılan kontrollü bir saldırıdır. Ağın tüm bileşenleri, sunucular, veritabanları, web uygulamaları ve diğer tüm unsurlarını içerebilir. Sızma testi, bilgi teknolojileri güvenliği uzmanları tarafından, müşterilerinin izniyle gerçekleştirilir.
Sızma testi, saldırganların kullandığı saldırı tekniklerini ve araçlarını kullanarak, güvenlik açıklarını tespit etmek ve aynı zamanda bu açıkları kötü amaçlı kullanım için kullanmak isteyen kişilerin yapabileceği her türlü saldırıyı önlemek için yapılan proaktif bir güvenlik uygulamasıdır. Sızma testi, işletmelerin, bilgi teknolojileri güvenliği alanındaki zayıf noktalarını tespit ederek, güvenlik açıklarını kapatmalarına yardımcı olur.
Sızma testi, bir bilgisayar ağı, web uygulaması veya sistemdeki güvenlik açıklarını tespit etmek için yapılan kontrollü bir saldırıdır. Saldırganlar, bilgisayar korsanları veya kötü niyetli kişiler, sızma testi yöntemlerini kullanarak hedeflenen sistemdeki zayıflıkları ve açıkları tespit etmek ve bunları kötüye kullanmak için kullanabilirler. Etik sızma testi, bilgi teknolojileri güvenliği uzmanları tarafından izin alınmış bir şekilde yapılan sızma testidir. Bu testler, sistemlerdeki zayıflıkları tespit etmek ve gidermek için yapılan proaktif bir yaklaşımdır.
Sızma testi, genellikle aşağıda bulunan adımları içerir:
- Hedef belirleme: Saldırganlar veya etik sızma testi uzmanları, hedef olarak seçilecek sistemleri veya ağları belirlerler.
- Bilgi toplama: Hedef sistem veya ağ hakkında mümkün olduğunca çok bilgi toplanır. Bu, hedef sistemlerin IP adreslerini, sistem bileşenlerini ve güvenlik ayarlarını içerir.
- Zayıflık tespiti: Toplanan bilgilere dayanarak, saldırganlar veya etik sızma testi uzmanları, hedef sistemdeki zayıflıkları tespit ederler. Bu adım, otomatik araçlar veya elle yapılan manuel testler gibi farklı teknikler kullanılarak gerçekleştirilir.
- Saldırılar: Sızma testi uzmanları, tespit edilen zayıflıkları kötüye kullanmak için saldırılar gerçekleştirir. Bu, yetkisiz erişim, kimlik avı veya kötü amaçlı yazılım yüklemek gibi farklı teknikler kullanılarak yapılabilir.
- Sonuçların raporlanması: Sızma testi uzmanları, tespit edilen zayıflıkları ve başarıyla gerçekleştirilen saldırıları raporlarlar. Bu raporlar, hedef sistem sahiplerinin güvenlik açıklarını gidermelerine yardımcı olmak için kullanılır.
Sızma Testi Başlıkları Şunlardır:
- Neden Sızma (Pentest) Testi Yapmalıyız?
- Sızma Testi Projesi Planı Nasıl Olmalıdır?
- Pentest (Sızma) Firması Seçimi Konusunda Nelere Dikkat Etmeliyiz?
- Sızma Testi Yapan Firmadan Sonuç Olarak Neler Beklemeliyiz?
- Pentest Sonrası Nasıl Bir Yol İzlemeliyiz?
Neden Sızma (Pentest) Testi Yapmalıyız?
Sahip olduğumuz bilişim sistemlerindeki güvenlik zaafiyetleri üçüncü göz tarafından kontrol edilmesi sonrasıda rapor haline güvenliğin ilk adımlarındandır. Güvenliğine dikkar ederseniz saldırı yapanların, sistemi istismar etmek için kullanılacak teknik sınır yok. Hayal gücü ve bilgi seviyelerine ihtimaller değişmektedir. Gözden kaçma ihtimal vardır. Bu sebepler den dolayı hackerlara yem olamadan kişisel verilerinizi beyaz şapkalı hackerlere test ettirmeniz yararımız olacaktır.
Sızma Testi Projesi Planı Nasıl Olmalıdır?
Yapılacak sızma testi çalışmasından olabildiğince çok verim alabilmek için her işte olduğu gibi burada plan yapılması gerekir. Soru ve cevaplayarak hazırlamanız gerçekleştirilecek testten üst düzey verim almanızı sağlayacaktır.
- Sızma testi’nin kapsamı ne olascak? (White Box, Gray Box ve Black Box)
- Ne çeşit bir sızma testi istiyoruz? (Internal Pentest, External Pentest ve Web Application Pentest)
- Testleri kime ve kimlere yaptırılır?
- Ne kadar sıklıkla yaptırılır? (…)
Pentest (Sızma) Firması Seçimi Konusunda Nelere Dikkat Etmeliyiz?
Sızma testi yaptıracağınız şirkete ne kadar güvenirseniz güvenin aranızda muhakkak imzalı ve maddeleri açık bir NDA olmalıdır. Siz işinizi garantiye alma açısından işletmenin yapacağı tüm işlemleri loglamanız yararınıza olacak.
Nasıl yaparsınız?
Şirketin pentest yapacağı IP adres bilgilerini isteyerek bu IP adreslerinden gelecek tüm trafiği Snort, Tcpdump vb. trafik kaydı gerçekleştirebilen bir yazılım kullanarak loglayabilirsiniz. Özellikle web trafiğini ki en kritik bilgiler burada çıkacaktır. Bunun dışında dikkat etmeniz gereken konular şunlardır;
- Firmada test yapacak çalışanların CV’lerini isteyin.
- Varsa testi yapacak çalışanların konu ile ilgili teknik sertifikasyonlara (CEH, OSCP vb.) sahip olmasını tercih edin.
- Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.
- Firmanın daha önceki referansları ile iletişime geçerek bunlardan birkaçına memnuniyetlerini sorun.
Sızma Testi Yapan Firmadan Sonuç Olarak Neler Beklemeliyiz?
- Yöneticilere ve teknik çalışanlara özel iki farklı rapor
- Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
- Pentest raporunun şifreli bir şekilde iletilmesi
- Keşfedilen güvenlik açıklarının nasıl kapatılacağı konusunda çözüm önerilerinin sunulması
Pentest Sonrası Nasıl Bir Yol İzlemeliyiz?
Pentest yaptırmak ne kadar önemliyse, sonuçlarını değerlendirip aksiyon almak çok daha önemlidir. Yaygın olarak yapılan yanlış sadece Pentest yapıp/yaptırıp raporu incelemek ve çok acil açıkları kapatmak şeklinde oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentest çalışmasında aynı açıklıkların tekrar çıkması sıklıkla karşılaşılan bir durumdur. Gerçekleştirilen çalışmanın katma değerinin yüksek olması için en azından aşağıdaki maddelerin uygulanması önerilmektedir:
- Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması
- Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime sunulması.
- Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi
- Sistem yöneticileri ve yazılım geliştiricilerle toplantı gerçekleştirilip sonuçların paylaşılması.
- Açıklıkların kapatılmasının takibi.
- Bir sonraki pentestin tarihinin belirlenmesi
Hazırlayan: Hayrunnisa ORMAN