PENETRASYON TESTİ
Sızma (Penetrasyon) testi
Sızma (penetrasyon) testleri saldırgan bakış açısıyla sistemlerdeki zafiyetlerin tespit edilmesini sağlayan güvenlik testleridir. Amaç bu sistemlerde var olan zafiyetlerin önden tespiti ve kötü niyetli kişiler tarafından istismar edilmesini önlemektir. Gelişen saldırı yöntemleri, farklı uygulamalar için sürekli duyurulan açıklıklar, saldırganların motivasyonları, yasal yönetmelik ile ilgili yükümlülükler de dahil olmak üzere bir kurumun saldırılara karşı direncini artırmak için sızma testleri zorunlu hale gelmiştir.
Hizmet alan kuruluşla belirlenen kapsamda başlayan testler sistemlere operasyonel olarak hiçbir güvenlik zararı vermeden, iz bırakmadan gerçekleştirilen ve sonuçlandığında tüm seviye bulguların detaylarıyla müşteriye raporlandığı bir süreçtir. Test çıktısında oluşan raporda yönetici özeti, seviyelerine göre açıklıklar, açıklıkların tespitinde kullanılan teknik detaylar ve giderilmesi için öneriler yer almaktadır. Tespit edilen bulguların kuruluş tarafından giderilmesinden sonra açıklıkların kapatıldığını doğrulayan tekrar kontrol süreçleri işletilir.
Sızma testleri alanında yetkin, sertifikalı uzmanlar tarafından yapılır. Test süresince hizmet verilen kuruluşun işleyişinde operasyonel bir risk oluşturmamak için hassasiyet gösterilir ve kurumdan sorumlu kişilerle iletişim halinde kalınır. Testlerde kullanılan IP’ler test öncesi kuruluşla paylaşılarak olası bir yanlış değerlendirmenin ve geçmişe yönelik log analizlerinde hatalı çıkarımların önünde geçilmiş olunur. Testin başlama, bitiş saatleri, testi gerçekleştiren uzman personel bilgileri ve kullanılan IP’ler ile ilgili detaylara test bitiminde sunulan sonuç raporunda da ver verilir.
Sızma testi türleri
Sızma testleri hizmeti sağlayan kuruluşla paylaşılan bilgi detayları göz önünde bulundurularak 3 farklı türde yapılabilir:
Whitebox
Testi gerçekleştiren uzman ekibe kurum altyapısı, IP bilgileri, yapılandırmalar, hesaplar vb. tüm detaylar sağlanır. Bu testlerde amaç kuruma misafir olarak erişimi olan ya da kurumda daha önce çalışmış bir personelin bakış açısını yansıtmaktır.
Graybox
Whitebox sızma testine göre test uzmanlarının sınırlı seviyede bilgiye sahip olduğu test türüdür. Bu test kapsamında, örneğin sadece kurumsal hesapların girişlerine izin veren ve dışarıdan kayıt almayan bir web uygulaması için kurum tarafından iletilen bir test hesabı kullanılabilir. Sahip olunan ön bilgi açısından whitebox ile blackbox arasında yer alsa da blackbox’a daha yakın bir test yöntemidir.
Blackbox
Testi yapan uzmanların tamamen bir saldırgan bakış açısıyla herhangi bir bilgiye sahip olmadan gerçekleştirdiği test türüdür. Sızma testi uzmanları kuruma ait sadece IP, domain adı bilgilerini edinir. Bunun haricinde hiçbir güvenlik politikası, altyapı, erişim bilgisi vb. detaylara sahip değildir. Gerçek dünyadaki saldırganların davranışını en iyi şekilde yansıtan test türüdür.
Kuruluşlar altyapılarındaki farklı uygulamalara yönelik iç ağ ya da dış ağ üzerinden güvenlik test hizmeti alabilirler. Bu kapsamda güvenlik testleri şu şekilde sınıflandırılabilir:
İnternet Üzerinden Güvenlik Testleri
İnternet üzerinden yapılan güvenlik testlerinde kurumun internete açık tüm uygulamaları, sistemleri test kapsamında yer alır. Standart bir web uygulaması olabileceği gibi internete açık DNS, mail, VPN vb. altyapıları da bu testlerde incelenir. Sızma testi uzmanları kurum hakkında çevrimiçi verileri toplayıp saldırı kapsamını belirleyerek tamamen internet üzerinden bu sistemlerdeki zafiyetleri bulmaya yönelik denemelerini gerçekleştirirler.
Web Uygulama Güvenlik Testleri
Statik, dinamik web siteleri, web servisleri, API (Application Programming Interface) gibi web tabanlı uygulamalarda bulunan zafiyetlerin tespit edilmesine yönelik yapılan test türüdür. Uygulama testlerinde tercihe göre kurum tarafından sağlanan test kullanıcı hesapları da kullanılabilir. Web uygulamaları kuruluşun internet dünyasına açık en temel bileşenlerinden olduğu için her test kapsamına mutlaka dahil edilir.
Mobil Uygulama Güvenlik Testleri
Kurumun geliştirdiği ya da üçüncü parti firmalar tarafından kuruma sağlanan mobil uygulamalardaki zafiyetlerin tespit edilmesini hedefler. Farklı çevrim içi mağazalarda yer alan uygulamalar indirilerek üzerinde incelemeler yapılır. Tercihe göre mobil uygulamanın paket kurulum dosyaları sızma testi uzmanlarına sağlanabilir. Mobil uygulama testlerinde uygulamanın iletişim kurduğu web servisleri de kapsam dahilindedir.
Yerel Ağ İçinden Güvenlik Testleri
Sızma testleri genellikle dış dünyadan gelen tehditlerin etkisini azaltmak için yapılsa da iç ağdaki tehditler de güvenlik dünyasında önemli bir yere sahiptir. Burada sızma testi uzmanları iç ağ üzerinden zafiyetleri tespit ederek kötü niyetli herhangi bir çalışan ya da iç ağa sızmış herhangi bir saldırganın verebileceği etkiyi ortaya koyar. Uzmanlar genellikle standart bir çalışan yetkisine sahip kullanıcı ve ağ erişimi ile testlerini gerçekleştirirler. Testler kuruluş tercihine göre VPN ile uzaktan ya da fiziksel olarak ofislerde yapılabilir.
Sosyal Mühendislik Testleri
Sosyal mühendislik saldırıları günümüzdeki birçok karmaşık saldırının ilk adımlarından biridir. Sistemler sıkı yapılandırmalarla güvenli hale getirilse de güvenliğin en zayıf halkası olan kullanıcıların güvenlik farkındalığının üst düzeyde olması kritik öneme sahiptir. Bu test ile sızma testi uzmanları kurum tarafından belirlenmiş hedef kullanıcılara mail, telefon ya da varsa fiziksel erişimler için oltalama saldırıları düzenler. Amaç kullanıcı farkındalığını ölçmek ve kullanıcılardan bu yolla edinilebilecek bilgilerin kullanılarak kuruluşun güvenlik anlamında nasıl etkileneceğini ortaya çıkartmaktır.
Kablosuz Ağ Güvenlik Testleri
Kablosuz ağlar birçok kurumda hem son kullanıcıların hem de IoT sensörler gibi bazı sistemlerin internet erişimlerini sağlayan yapılardır. Yanlış yapılandırmış bir kablosuz ağ ile bir misafir, kuruma fiziksel yakınlığı olan bir saldırgan ya da iç ağa sızmış biri yetki elde edip kurum içerisindeki kaynaklara erişim sağlayabilir. Bu test kapsamında sızma testi uzmanları kablosuz ağlardaki güvenlik riski oluşturacak yapılandırma hatalarını tespit ederek raporlar.
Kaynak Kod
Analizi
Uygulamaların canlı ortamda çalışırken zafiyetlerini tespit edip kapatmak çok önemli olmakla birlikte, önem derecesi yüksek uygulamalarda kaynak kod analizi yapmak da kritik hale gelmektedir. Uzmanlar kurum tarafından sağlanan kaynak kodları hem statik hem de dinamik olarak inceleyerek yazılım geliştirme adımlarından kaynaklanan açıklıkların tespit edilmesini sağlar. Kritik uygulamaların canlı ortama alınmadan önce kaynak kod analizi yapılması, sonradan uygulama tabanlı ortaya çıkabilecek zafiyetlerin önüne geçer.
DDoS (Dağıtık Hizmet Dışı Bırakma) Testleri
DDoS kurumun hizmet vermesini engelleyen en eski ve günümüzde de saldırganlar tarafından sıklıkla tercih edilen saldırı türlerinden biridir. DDoS testlerinde testi yapan uzmanlar tarafından kontrol edilen botlar hedef sisteme yoğun trafik göndererek bu sistemlerin önünde var alan DDoS koruma mekanizmalarının etkinliğini ölçümler. Test sonucunda DDoS koruma altyapısını daha güçlü hale getirmek için öneriler sunar.
Sızma testleri hakkında daha fazla bilgi edinmek ve test süreçleri için bizimle iletişime geçebilirsiniz.