Sızma Testi (Pentest)

SIZMA TESTİ (PENTEST) NEDİR?

Sızma Testi Nedir? Sızma testleri günümüzde her kurumu ilgilendiren bir konu haline gelmiştir.

Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.

Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.

Penetrasyon testi özetle bir sistemin saldırıya ne kadar savunmasız olduğunu ölçme testidir denilebilir.

Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.

Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.

Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır. 

Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.

Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.

Bu noktada, zafiyet taraması ile sızma testinin farklarını anlayabilmek için “Sızma Testi Mi?Zafiyet Taraması Mı?” başlıklı makalemizi okumanızı öneririz.

Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.

Sızma testinin yapılması ve raporlanmasının ardından  kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.  

Sparta Bilişim olarak bu sürece bir de 1 günlük Workshop ekledik ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri sunabiliyoruz.

Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.

SIZMA TESTİ NEDEN YAPILMALIDIR?

Kuruluşların bilişim sistemlerindeki güvenlik zafiyetlerinin alanında yetkin bir siber güvenlik uzmanı tarafından kontrol edilmesi ve raporlanması proaktif siber güvenliğin en önemli adımlarındandır.

%100 güvenlikten bahsetmek malesef mümkün değildir ancak kuruluşun siber güvenlik yolunda nerede olduğunu periyodik olarak değerlendirmesi gerekmektedir. Bu değerlendirmeler sonucunda yapılacak olan iyileştirmelere karar verilecek ve atılması gereken adımlar belirlenebilecektir.

Siber saldırıların gittikçe daha sofistike hale geldiği ve siber saldırganların “bilgisayarın arkasına saklanmış kapüşonlu genç” imajından çoktan uzaklaşıp, kuruluşları büyük maddi zararlara uğratmayı hedefleyen organize suç örgütleri haline geldiği günümüzde, güvenliğimizi şansa değil etik hackerlara bırakmak, tehlikeyi başımıza bir iş gelmeden önce uzaklaştırabilmemize yarayacaktır. 

Kuruluşun güvenlik politikalarının verimliliğini denetlemek, zafiyet ve açıklarımızı bilmek, kuruluşun güvenlik kapasitesini ayrıntılı olarak görmek, bilinen zafiyetlere karşı sistemimizi test etmek, riskleri ve tehditleri ortaya çıkartmak, ağ güvenlik cihazlarımızın verimliliğini değerlendirmek, başımıza gelebilecek olası saldırı ve sistemlerimizin istismar edilmesi ihtimalini engellemek için kapsamlı bir plan sahibi olmak, mevcut alt yapımızın bir değişikliğe ihtiyaç duyup duymadığını anlayabilmek için sızma testlerinin periyodik olarak yapılması gerekmektedir.

SIZMA TESTİ ÇEŞİTLERİ NELERDİR?

Kuruluş ihtiyacına bağlı olarak, sızma testi kapsamında testler 3 ana vektör üzerinden yapılır:
İç ağdan yapılacak sızma testleri: Kuruluş ağının içinde bir erişim noktası kullanılarak yerel ağ ve bu ağa bağlı sistemler test edilir. 
Dış ağdan yapılacak sızma testleri: Kuruluşa ait ve internet üzerinden erişilebilen sistemler test edilir.
Web uygulama sızma testleri: Web uygulamaları üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği test edilir.

SIZMA TESTİNDE HANGİ HİZMETLER VERİLİR?

– Sistemlerin keşif ve tarama çalışmaları

– Sistemler ve ağ üzerindeki zafiyetlerin tespit edilmesi 
– Tespit edilen zafiyetlerin istismar edilmesi
– Saldırı simülasyonu kapsamında manüel sızma testlerinin yapılması
– Raporlama (Tespit edilen zafiyetlerin giderilmesi için önerilerin sunulması)
– Workshop: Siber güvenlik ve etik hacking
– Kontrol testleri
– Kontrol testinin raporlanması

SIZMA TESTİ YAKLAŞIMLARI

Black Box: Testleri yapacak olan kişi ya da kişiler sistem ile ilgili bulabildikleri tüm bilgileri kendisi toplar ve testi yapar, kuruluş tarafından hiçbir bilgi verilmez.
Gray Box: Kuruluş sistemi ile ilgili kısmi bilgiler sızma testini gerçekleştirecek olan ekibe test öncesinde verilir.

White Box: Testi gerçekleştirecek olan sızma testi ekibine kuruluş içerisindeki tüm yapı ve/veya sistem hakkında bilgi verilir.

Ülkemizde “greybox” testler çalışmanın yapılacağı kuruluştan “kapsam formu” ile bazı bilgilerin talep edilmesinden ibarettir. Sparta Bilişim‘de kapsam formu kullanılmaz.

Her şeyden önce kuruluşu hedef alması muhtemel bir siber saldırganın kapsam formu talep edeceğine pek ihtimal vermiyoruz. Bu nedenle tamamen blackbox olarak yürütülen çalışmalar kuruluş çalışanlarının da gözünden kaçabilecek bazı sistemlerin tespit edilmesini sağlayacağı için bizce daha faydalı olmaktadır.

Saldırganı olabildiğince iyi simüle etmek amacıyla iç testlere de öncelikle “blackbox” olarak başlanıp, ilerleme doğrultusunda kuruluştan bazı izin ve yetkiler talep edilmektedir.

Dünyada sayılı bir kaç firmanın izlediği bu özel metodolojiyle ilgili ayrıntılı bilgi almak için bizimle iletişime geçebilirsiniz.

TANDEM NEDİR?

Kuruluşun talep etmesi halinde sızma testleri “tandem” metodolojisi ile de gerçekleştirilebilmektedir. Bu durumda testlere kuruluş personeli dahil edilerek testler adım adım birlikte yürütülmektedir. Bu yaklaşım özellikle siber güvenlik olgunluk seviyesini geliştirmek isteyen ve sızma testi sürecinden bilgi ve beceri transferi olarak da yararlanmak isteyen kuruluşlar için uygundur.

ZAFİYET TARAMASI NEDİR?

Zafiyet taraması; mevcut ve çıkması muhtemel zafiyetlerin tespit edilmesidir. Zafiyet Yönetimi ise bunlardan doğacak risklerin azaltılması için yapılan çalışmaların bütünüdür.

Zafiyet taraması ile ilgili detaylı bilgiye “Zafiyet Taraması, Yönetimi, Metodolojisi ve Araçları” başlıklı makaleden erişilebilir.

 

sızma testi - pentest süreci

(Test hizmetlerimiz NIST, EC-Council, OWASP ve SANS gibi uluslararası olarak kabul görmüş standart ve
metodolojilere uygun olarak verilir.)

Başa dön