SIZMA TESTİ Mİ,
ZAFİYET TARAMASI MI?

Yıllardır Ankara ve İstanbul ağırlıklı olarak devam eden işlerimizin Anadolu’nun diğer şehirlerine genişlemesiyle birlikte, daha önce hiç sızma testi yaptırmamış veya bazı yerel firmalarla kötü deneyimleri olmuş çok sayıda şirkete ulaşmaya başladık.

Daha önce hiç sızma testi almamış bir kuruluş bu hizmetten tam olarak nasıl bir çıktı alacağını öngöremiyor olabilir. Öte yandan, bir önceki sene İstanbul veya Ankara’da bu işi hakkıyla yapan firmalardan teklif topladıktan sonra yerel bir firmanın, bir “çözüm ortağı” veya “hacker arkadaş” ile birlikte verdiği teklifin cazibesine kapılmış kuruluşlar bu konuda olumsuz deneyimler yaşayabiliyor.

Rakiplerimi kötüleme alışkanlığım yoktur, hepsi çok değerli kuruluşlardır. Anadolu’da iş yapan yerel bilişim firmaları da son derece iyi hizmetler veriyor, onlara da sözüm yok.

Ancak arada bir yerde “hallederiz abi” düsturuyla hareket eden bir grup var ki, evlerden uzak.

Ağrı’dan Bursa’ya, Trabzon’dan Bitlis’e, İskenderun’dan Erzincan’a kadar Türkiye’nin hemen her ilinde hizmet vermeye devam ediyoruz. Burada görülen manzara şu oluyor; İstanbul ve Ankara firmaları, işe hakkı olan 40.000 TL+KDV civarında bir teklif vermişken (Örn. 40.000 TL + KDV), o ilde donanım satışı yapan bir firma, freelance çalışan birini bularak, aynı işe 4.000 TL + KDV teklif verebiliyor (rakamlar gerçek bir olaydan alınmıştır). Bu durumda, sızma testi hizmeti alımı konusunda tecrübesiz bir kuruluş uygun maliyetli olan hizmeti tercih edebiliyor. Sonuç; ellerine en iyi ihtimalle bir zafiyet tarama raporu geçiyor. Birçok örnekte gördüğüm ise, işi alan firmanın veya freelancer iddiasında olan arkadaşın elinde ticari seviyede bir zafiyet tarama yazılımı olmadığı için, kuruluşa sunulan rapor oldukça eksik kalıyor.

Zafiyetleri görmemiz yetmez mi?

İlk sorunumuz; zafiyet tarama yazılımlarının yapıları itibariyle, ağ yapısından kaynaklananlar gibi, hiç bakamadıkları bazı zafiyet türleri olmasıdır.

İkinci sorun ise zafiyet tarama yazılımlarının çıktılarının elden geçirilip düzenlenme gerektirmesidir.

Zafiyet tarama araçlarının tasarımları itibariyle göremeyecekleri bazı önemli güvenlik açıklarına aşağıdaki örnekler verilebilir;

  • Kullandığınız bir uygulamanın kullanıcı adı ve parolasını açık olarak göndermesi
  • Kullanıcıların basit parola kullanması
  • IP telefonlarınızda FTP sunucusu olması
  • Kullandığınız Windows imajında bulunan sıkıştırma yazılımının sürümünün eski kalmış olması
  • Sunucu üzerinde yüklü PDKS (Personel Devam Kontrol Sistemi) veya kart okuyucu yazılımın yönetici yetkileriyle kurulu olması

Bu liste uzatılabilir elbette.

“Zafiyetleri görmemiz yetmez mi?” sorusunun cevabı bazı kuruluşlarda “yeter” olabilir. Örneğin bugüne kadar sistemlerinize hiç baktırmadıysanız düzgün yapılandırılmış ve raporlanmış bir Nessus taramasının size katabileceği çok şey vardır. Ama amacınız güvenlik seviyenizi sürekli iyileştirmekse, bu yeterli olmayacaktır.

Sızma testi yaptırıyorsak, zafiyet taraması yaptırmamıza gerek var mı?

Aklımıza “sızma testi yaptırıyorsak, zafiyet taraması yaptırmamıza gerek var mı?” sorusu gelebilir. Bu sorunun cevabı ise kesin bir “evet, sızma testi yaptırsanız bile zafiyet taramasına ihtiyacınız var”.

6 ayda bir sızma testi yaptırdığınızı düşünelim. Bu durumda ağ ve sistemlerinizde bulunan zafiyetlerden 6 ayda bir haberiniz olacaktır.

2018 yılında CVE numarası verilen toplam 16.555 güvenlik açığı tespit edilmiş, bu da aylık ortalama 1.379 zafiyet eder. Bu durumda Ocak ayında yaptırılan bir sızma testi ile bunun haziran ayındaki tekrarı arasında 8.200 yeni zafiyet çıkması demektir (2018 yılının ilk 6 ayı için gerçek sayı 8.570’dir).

Böyle bakınca iki sızma testi arasında geçen sürede etkili bir saldırı için yeni bir vektörün çıkması ve siber saldırganların bundan faydalanması ihtimalinin ne kadar yüksek olduğu görülebiliyor.

Bu nedenle sızma testi yaptırılsa bile, düzenli olarak zafiyet taramalarının yapılması çok önemlidir.

Siber güvenlik olgunluk seviyesi nedir?

Kuruluşunuzun güncel siber saldırılara karşı dayanıklılığı da diyebileceğimiz siber güvenlik olgunluk seviyesi, asıl takip edilmesi gereken konudur.

Temelde reaktif ve proaktif olarak adlandırılan 2 evre vardır.

Reaktif evrede, kuruluş saldırılara karşı daha çok savunma konumundadır. Firewall, antivirüs, IPS/IDS benzeri çözümlerle savunma hattını oluşturur ve güvenliğini sağlamaya çalışır.

Proaktif güvenlik yaklaşımı ise reaktif güvenlik yapısı üzerine önemli bir katman ilave eder. Bu aşamada kuruluş sadece kendini savunmaz, aynı zamanda kendine saldırganın gözünden bakar ve kendisine gelen saldırıları inceler. Bu sayede hem mevcut güvenlik seviyesini sürekli iyileştirme imkânı bulur, hem de güvenlik çözümlerini atlatması muhtemel bir saldırganı tespit edebilir.

Zafiyet taramaları ve sızma testleri güvenlik açıklarının siber saldırganlardan önce tespit edilip giderilmesine imkan verdiği için genel güvenlik seviyesinin iyileştirilmesi konusunda en önemli adımlardan birisidir.

Siber güvenlik seviyesinin değerlendirilmesi için ele alınması gereken birden fazla ölçüt var:

Örneğin, son 3 ay, 6 ay veya 1 sene içerisinde sistemlerinize hiç zararlı yazılım bulaşmamış olması güvenlik seviyenizin iyi olduğunu kanıtlayacak bir ölçü değildir. Bunun yanında kaç olayın yaşandığının, kaçının engellendiğinin, kaçının tespit edildiğinin ve çok daha önemlisi, mevcut güvenlik yapınızın hangi saldırıları hiç göremediğini de ortaya koymak gerekir. Ancak bu sayede güçlü yönlerinizi ve iyileştirilmesi gereken noktalar görülebilir.

Proaktif siber güvenlik yaklaşımına geçiş bir miktar yatırım gerektirir ve bu yatırımların doğru şekilde planlanması, yatırımın geri dönüşünün sağlanması için çok önemlidir.

Zafiyet Taraması ve Sızma Testi farkları

Aşağıdaki senaryo, zafiyet taraması ile sızma testine eklenmiş Sparta siber güvenlik seviyesi analizi çalışması arasındaki farkın anlaşılmasını sağlayacaktır.

Bu örnekte sistem üzerinde Telnet ve SSH sistemlerinin çalıştığını ve her ikisi üzerinde de bilinen bir güvenlik açığı olmadığını varsayalım.

Jenerik zafiyet taraması çıktısı:

  • Bulgu: Telnet kullanımı
  • Bulgu önem seviyesi: Yüksek
  • Açıklama: Telnet iletişimi şifreli olmadığı için yerel ağdaki trafiği dinleyebilecek bir saldırgan, bu yöntemi kullanarak kullanıcı adı ve parola bilgilerini ele geçirebilir.
  • Çözüm önerisi: SSH gibi şifreli bir erişim yöntemi kullanılması
  • Etkilenen sistemler: Vyatta yönetilebilir switch / IP adresi: 172.16.169.138

Hatırlatma: SSH üzerinde bilinen bir zafiyet yoksa SSH konusunda ancak “bilgilendirme” seviyesinde bir bulgu verecektir.

Jenerik sızma testi çıktısı:

  • Bulgu 1: Telnet kullanımı
  • Bulgu önem seviyesi: Yüksek
  • Açıklama: Telnet iletişimi şifreli olmadığı için yerel ağdaki trafiği dinleyebilecek bir saldırgan, bu yöntemi kullanarak kullanıcı adı ve parola bilgilerini ele geçirebilir.
  • Zafiyet kanıtı: Yerel ağ üzerinde ARP zehirlemesi ile 172.16.169.138 IP adresinde bulunan cihaza telnet ile yapılan bağlantılar dinlenmeye başlanmıştır.

172.16.169.134 IP adresinden yapılan bağlantı ile telnet üzerinden gönderilen kullanıcı adı ve parola ele geçirilmiştir (aşağıda)

Sızma testi ile zafiyet taraması farkları

Saldırı vektörü: Ele geçirilen kullanıcı adı ve parola, ağa bağlı diğer sistemler üzerinde telnet, SSH, SMB ve RDP bağlantıları ile denenmiştir. 172.16.169.134 IP adresinde bulunan bilgisayara bu kullanıcı adı ve parola kullanılarak RDP bağlantısı kurulabildiği tespit edilmiştir.

  • Etkilenen sistemler: Vyatta yönetilebilir switch – IP adresi 172.16.169.138
  • Çözüm önerisi: SSH gibi şifreli bir erişim yöntemi kullanılması

  • Bulgu 2: Kolay tahmin edilebilir parola kullanımı
  • Bulgu önem seviyesi: Yüksek
  • Açıklama: Ağa bağlı cihazda fabrika çıkışlı kullanıcı adı ve parola kullanılmaktadır. Saldırganların bu parolaları tahmin etmesi ve sisteme bağlanması mümkündür.
  • Zafiyet kanıtı: Kuruluşa özel olarak hazırlanan parola listesi kullanılarak parola tahmin saldırısı gerçekleştirilmiştir.

    Aşağıda görüldüğü gibi 172.16.169.138 IP adresinde bulunan sisteme “vyatta” kullanıcı adı ve “vyatta” parolası ile SSH üzerinden bağlanmak mümkün olmuştur.

sizma testi mi zafiyet taraması mı

  • Çözüm önerisi: Cihaz üzerinde bulunan fabrika çıkışlı kullanıcı adı ve parolanın değiştirilmesi gerekmektedir. Tahmin edilmesi zor parola ve mümkünse 2 kademeli kimlik doğrulama (2 factor authentication) kullanılmalıdır.

Jenerik siber güvenlik seviyesi tespiti bulguları:

  • Ağ güvenliğine ilişkin bulgular:
    1. Yerel ağda yapılan bir ARP zehirlemesi saldırısı tespit edilememiş ve engellenmemiştir.
    2. Yerel ağda telnet bağlantıları kullanılmaktadır.
    3. Yerel ağdaki sistemler arasında denetlenmemiş RDP bağlantıları kurulabilmektedir.
  • Sistem güvenliğine ilişkin bulgular:
    1. Sistemlerde fabrika çıkışlı kullanıcı adı ve parola kullanılmaktadır.
    2. Sistemlerde kaba kuvvet parola tahmin saldırı girişimleri tespit edilip engellenmemektedir.
    3. Aynı kullanıcı hesapları birden fazla sistem üzerinde ve yetkili kullanıcı olarak bulunmaktadır.

Görüldüğü gibi zafiyet taramasının tek bir bulgu vermesi muhtemel bir durumda, sızma testi bize çok daha kapsamlı bir bakış açısı sunmaktadır. Bu sayede sadece güvenlik açıkları görülmekle kalınmıyor, bunların istismar edilebilirliği ve olası etkileri de ortaya konuluyor.

Sızma testi raporlarını, kuruluş içerisinde farklı görev seviyesinde bulunan kişiler okuduğu için hepsinin güvenlik konusundaki sorularını yanıtlayabilecek nitelikte bir rapor oluşturulması önemlidir. Bu örnekten yol çıkarsak; ağ ve sistem birimi çalışanları kapatmaları gereken açıkları görebiliyorken, yönetici konumundaki kişiler ise yapısal olarak iyileştirilmesi gereken noktaları görebiliyor.

Siber güvenlik seviyesinin değerlendirilmesinde kullanılan 2 temel aracı ve aralarındaki temel farkı anlamanın, bu hizmetleri alırken faydası olacaktır.

Aklınıza takılabilecek her konuda bize sparta@sparta.com.tr mail adresimizden ulaşabilirsiniz.

Başa dön