Sızma yani penetrasyon testi, insan odaklı bir güvenlik açığı tespit sürecidir ve işletmelerin siber zayıflıkları tespit etmek için kullandığı birincil yöntemdir. Bir pentest, ağlarınızdaki ve sistemlerinizdeki savunmasız noktaları bulmak ve ortaya çıkarmak için sisteminize karşı simüle edilmiş bir siber saldırının başlatılmasını içerir.
Pentesti sırasında ağınızdaki veya uygulamalarınızdaki herhangi bir sayıda alan hedeflenebilir. Hizmetlerinizden güvenlik duvarınıza ve API’lerinize kadar her şey pentest ekibi için geçerli bir hedef olabilir.
En yaygın olarak hedeflenen sistem güvenlik açıklarından bazıları aşağıdakileri içerir:
- Zayıf veya hatalı yapılandırma
- Yeni ve mevcut yazılım güvenlik açıkları
- Donanımla ilgili bilinen ve bilinmeyen hatalar
- Zayıf siber güvenlik yanıt protokolleri
- Düşük siber güvenlik kullanıcı farkındalığı
- Eski uygulamalar veya işletim sistemleri
Pentest ile kullanılan yöntemlerden herhangi biri başarılı bir şekilde sızarsa, bu size siber güvenlik zayıflıklarınızın nerede olduğu ve bunlardan ne kadar kolay yararlanılabileceği konusunda değerli bilgiler verecektir. Daha sonra tüm bu bilgileri, siber güvenlik stratejinizi geliştirmek ve ağınızı korumaya yardımcı olmak için kullanabilirsiniz.
Bulutistan hizmetlerinin detaylarına ulaşmak için tıklayınız.
Sızma Testi Türleri
Başlatılan saldırının türü, testi kimin yürüttüğü ve test ekibine sistem hakkında verilen bilgi düzeyi gibi bir dizi faktöre bağlı olarak çeşitli sızma testleri türleri vardır. İyi tasarlanmış bir sızma testi, farklı gerçek hayat senaryolarının kapsandığından emin olmak için aynı analizde birden fazla değişkeni hesaba katacaktır.
1. Farkındalık düzeyine göre sızma testi çeşitleri
Tipik olarak pentest yapanlara farklı hedefler verilir ve sistem hakkında ne kadar bilgi verileceği genellikle değişir. Sistem yöneticilerinin test hakkında bilgi sahibi olup olmadığı ve test edilen şeyin ne kadar bilindiği de değişken olarak kullanılabilir.
Kara Kutu Testi (Black Box Testing)
Bu, pentest yapanlar için en zorlu varyasyondur. Bu senaryoda, testi yapanlar sistem hakkında hiçbir bilgiye sahip olmaz ve tıpkı gerçek bir siber saldırganların yapacağı gibi, tamamen yabancı olarak sistemi ihlal etmeye çalışır. Kara kutu testi iki farklı şekilde yapılabilir:
Blind testing: Test kullanıcılarına sistem hakkında önceden bilgi verilmez veya çalışacakları çok sınırlı bir miktar bilgi (yalnızca şirketin adı gibi) verilir. Ancak işletme çalışanları bir sızma testi yapıldığının farkındadır.
Double-blind testing: Bu yöntem kara kutu testini başka bir düzeye taşır. Double-blind testte, testi yapanlar sistem hakkında hiçbir şey bilmez ve hedef şirketin çalışanları da testten haberdar değildir. Sızma testi hakkında işin yalnızca bir veya iki kilit üyesinin bilgisi olduğu için gerçek bir siber saldırı gibi herkesi hazırlıksız yakalayabilir.
Avantajları: Kara kutu testi, potansiyel bir siber saldırının neler ortaya çıkaracağı ve işletmeniz üzerindeki etkisi hakkında size doğru bir fikir verir. Güvenlik açığı tespitine yaklaşmanın en gerçekçi yoludur ve sisteminizdeki zayıflıklarla ilgili önceden bilginiz olmadığında başlamak için iyi bir yerdir.
Dezavantajları: Kara kutu testi, test edenler için daha yüksek bir maliyete neden olabilecek çok fazla keşif süresi gerektirebilir.
Beyaz Kutu Testi (White Box Testing)
Beyaz kutu testi, bir sistemin iç yapısını, tasarımını ve kodunu inceler ve testi yapanlara hedef ağ hakkında ayrıntılı bilgi verilir. Mevcut güvenlik protokollerinden ve ağ altyapısından, bilinen mevcut güvenlik açıklarına ve sistemin eğilimli olduğu yanlış yapılandırmalara kadar her şeye erişebilir.
Beyaz kutu testi, test etmek için aynı anda çalışan test edicilerden ve kurum içi güvenlik uzmanlarından oluşan hedefli bir sızma testidir. Her iki taraf da simüle edilmiş saldırının farkında ve birbirine paralel olarak çalışır. Bir taraf sızmaya ve diğeri savunmaya çalışır. Bu tür bir çalışma, çalışanların kendi eylemlerini gerçek zamanlı olarak bilgisayar korsanlarının gözünden görmeleri için harika bir yoldur.
Avantajları: Beyaz kutu testi çok ayrıntılı olduğundan, sistemin maksimum kapsamıyla güvenlik açıklarını verimli bir şekilde keşfetmenize olanak tanır. Testi yapanlar bir kara kutu testinden çok daha fazla bilgiye sahip olduklarından, belirli sorunları hedeflemek ve çeşitli yolları ayrıntılı olarak araştırmak daha kolaydır. Koddaki gizli hatalar işlem sırasında açığa çıkabilir ve bu da daha sonra kodun ve sistem verimliliğinin optimize edilmesine yardımcı olur.
Dezavantajları: Beyaz kutu testi, kapsamlı bilgi ve özel araçlar gerektirir ve ayrıntılı yapısı nedeniyle tamamlanması daha uzun sürer. Bu, süreci oldukça pahalı hale getirebilir ve bu nedenle gerekli bütçeye sahip olmayan küçük işletmeler için uygun olmayabilir.
Gerçekte, optimum savunma sonuçlarını elde etmek için hem beyaz kutu hem de kara kutu taktiklerinin bir kombinasyonu gereklidir. Bu nedenle, bazı pentest yapanlar bir uzlaşma olarak “Gri Kutu – Grey Box” tekniklerini kullanır. Gri kutu test durumunda, test yapacak olanlara üzerinde çalışacakları sınırlı miktarda bilgi verilir. Bu sayede sıfırdan başlamazlar, ancak aynı zamanda daha hedefli bir eylem kapsamına sahiptirler. Grey box testi, siyah ve beyaz testiyle ilişkili daha yüksek maliyet, boyut ve kapsam nedeniyle en yaygın penetrasyon testi türüdür.
2. Kaynağa göre sızma testi çeşitleri
Siber saldırılar hem harici hem de dahili kaynaklardan gelebilir, bu nedenle hem harici hem de dahili sızma testleri uygun bir seçenektir.
1. Harici Test
Harici test, bir IP adresi bankasının test edilmesidir. Halka açık bir sisteme uzaktan nüfuz edilip edilemeyeceğini öğrenmek için kullanılır. Modern güvenlik duvarları ve güvenli bulut depolama sistemleri, insan hataları ve yanlış yapılandırmalar nedeniyle daha yüksek riske maruz kalabilir ve harici test uzmanları bu güvenlik açıklarından yararlanmaya çalışır.
2. Dahili Test
İşletmenizin içinden gelen kötü niyetli bir saldırıyı simüle etmek için dahili bir penetrasyon testi tasarlanır; bu, saldırganın dahili kimlik bilgilerine erişebileceği anlamına gelir. Dahili saldırılar, aktif olarak işletmeye zarar vermeye çalışan hoşnutsuz bir çalışanla, kimlik avı veya diğer veri ihlali teknikleri aracılığıyla oturum açma bilgilerini çalarak dahili erişim elde eden bir bilgisayar korsanıyla ilgili olabilir.
Penetrasyon Testinin Aşamaları Nelerdir?
Herhangi bir tipik pentestte tamamlanması gereken beş temel aşama vardır:
1. Kapsam belirleme ve bilgi toplama
Bir sızma testi ekibi tarafından herhangi bir işlem yapılmadan önce olası hedef hakkında uygun bilgi toplama işlemi tamamlanmalıdır. Bu dönem, bir saldırı planı oluşturmak için hayati önem taşır ve hazırlık zemini olarak hizmet eder.
2. Zafiyet tarama
Keşif aşamasının ardından, güvenlik sistemlerinin çoklu ihlal girişimlerine nasıl karşı koyacağını deşifre etmek için hedef üzerinde bir dizi tarama gerçekleştirilir. Testi yapanlar sisteme çeşitli bilgi paketleri gönderir ve nasıl yanıt verildiğini görür. Bağlantı noktası taramasından giriş noktalarını belirlemeye, IP adreslerini taramaya ve sistemde yüklü olan şeyler hakkında bilgi toplamaya kadar kullandığınız tüm kodlar tek bir saldırıda taranabilir.
3. Sisteme sızma
Veriler toplandıktan sonra, penetrasyon testi yapanlar mevcut güvenlik açıklarından yararlanmak için SQL Injection ve Cross-Site Scripting gibi yaygın web uygulaması saldırılarından yararlanır. Erişim elde edildikten sonra, testi yapanlar kötü niyetli bir saldırıdan kaynaklanabilecek olası hasarın kapsamını taklit etmeye çalışır.
4. Erişimi koruma
Etik bilgisayar korsanları, sisteme girdikten sonra, mümkün olduğunca uzun süre bilgi çekmelerini sağlayacak erişimi korumanın bir yolunu arar. Örneğin, bir Truva Atı kurmak, bir sistemin içine kod yerleştirmenin ve onu aktif olarak arka planda kesintiye neden olacak şekilde tutmanın harika bir yoludur. Bu, elbette, tespit edilmekten kaçınarak yapılmalıdır, çünkü kimse güvenlik ihlalinin farkında olmadığı sürece kimse onu düzeltmeye çalışmayacaktır.
Pentesti yapanlar ayrıca giriş noktalarını güvenceye almaya ve daha fazla erişim için açık tutmaya çalışabilir. Bilgisayar korsanları bir arka kapı ekleyerek veya tuş kaydedicileri kullanarak bir sisteme kod yazabilir ve bu da istedikleri zaman içeri girmelerine izin verir. Bir rootkit yardımıyla, testi yapanlar bir ağ veya sistem hakları yükseltebilir.
5. Analiz ve Raporlama
Son olarak, sızma testi ekibi testin sonuçlarını analiz eder. Sızma testinin amacı, işletmenin siber güvenlik ekibine faydalı bilgiler ve eyleme geçirilebilir öneriler sağlamaktır.
Rapor, test ekibi tarafından kullanılan yöntemleri, tespit edilen güvenlik açıklarını ve bunların nasıl düzeltilebileceğine ilişkin önerileri açıklamalıdır. Bu öneriler, güvenliği güçlendirmenin ve bir saldırı olduğunda ve gerçekleştiğinde yanıtını iyileştirmenin yollarını içerebilir. Bazı durumlarda, önerilen değişiklikler yerindeyken sistemin yeniden test edilmesini içeren yedinci bir sızma testi aşaması vardır.
Pentest Araçları
Pentest, yaygın olarak kullanılan bir uygulamadır, bu nedenle piyasada birçok pentest aracı vardır ve test sırasında bunlardan çeşitli şekillerde yararlanılır. Kolayca yapılandırılabilen çeşitli bir araç setine sahip olmak, sistematik tarama ve raporlamaya izin verdiği için etkinliği artıracaktır.
Mevcut birçok ücretsiz veya açık kaynaklı sızma testi yazılımı ile pentest uzmanları, maliyet konusunda endişelenmeden kodu uygun gördükleri şekilde uygulama ve değiştirme özgürlüğüne sahiptir.
Ayrıca, bilgisayar korsanları topluluğunda birçok kod açıkça paylaşıldığından, pentest yapanların ve bilgisayar korsanlarının genellikle aynı araçları kullanmasına yardımcı olur. Aynı araç kutusunu kullanmak, simüle edilmiş saldırının mümkün olduğunca gerçek şeylere yakın olmasını sağlamanın iyi bir yoludur.
Penetrasyon Testi Ne Zaman Yapılır?
Siber güvenliğe bağlılığınızın devam etmesini sağlamak için yılda en az iki kez gerçekleştirilen düzenli penetrasyon testleriniz olmalıdır. Sürekli tehlikeli bir hale gelen ortam nedeniyle bu testi yavaş yavaş üç ayda bir yapılan bir uygulama haline getirebilir ve güvenlik açığı değerlendirmeleri daha sık yapabilirsiniz.
İşletmeniz, binaların taşınması, yeni bir ağ altyapısının devreye alınması veya mevcut olanı önemli ölçüde değiştirmenin yanı sıra işletmenin güvenlik politikalarının değiştirilmesi gibi önemli değişikliklerden geçtiyse, bir güvenlik açığı taraması, değişikliğin sahip olabileceği yeni güvenlik açıklarını belirleyecektir.
Sızma testi söz konusu olduğunda “herkese uyan tek bir çözüm” yoktur, bunların tümü şirketinizin büyüklüğüne, bütçesine ve ayrıca kendi sektörünüzdeki düzenlemelere bağlıdır. Örneğin veri koruma mevzuatına ve veri güvenliği standartlarına uyumlu kalmak için bazı şirketlerin kanunen daha sık pentest yaptırmaları gerekir.
Bulutistan hizmetlerinin detaylarına ulaşmak için tıklayınız.
İşletmenizin Neden Bir Penetrasyon Testine İhtiyacı Var?
Siber güvenliği güncel tutmak, güvenilirliğiniz ve işinizin sorunsuz yürümesi için önemlidir ve bunları gerçekleştirmek size aşağıdakileri sağlayacaktır:
- Kişisel veriler ve finansal bilgiler gibi yüksek riskli hedefleri belirleme.
- Sisteminizdeki savunmasız ihlal noktalarını ortaya çıkarma
- Mevcut kodda hata bulma.
- Siber güvenlik farkındalık eğitimi ihtiyacını belirleme.
- Siber güvenlik duruşunuzu iyileştirme.
- Sektörünüzdeki mevcut güvenlik standartlarıyla uyumluluğu sağlama.
- Güvenlik açığı değerlendirmenizin yeterliliğini doğrulama.