SIZMA TESTİ TÜRLERİ
Kuruluşunuzda bir sızma testi yapmayı düşünüyorsanız, mevcut farklı test türleri hakkında bilgi edinmek isteyebilirsiniz. Bu bilgi size projenizin kapsamını daha doğru belirlemek, gerekli yetkinliğe sahip firmaları seçmek ve nihayetinde güvenlik hedeflerinize ulaşmak için daha bilinçli ve donanımlı olmak konularında yardımcı olacaktır.
Penetrasyon testi nedir?
Yaygın olarak Pentest, Penetration Test, Güvenlik Taraması, Güvenlik Denetimi gibi başlıklarla da tariflenen Sızma Testi, bilgisayar korsanları tarafından kullanılabilecek güvenlik açıklarını bulmak amacıyla, bilişim sistemlerinize gerçek hayatta yapılabilecek olası saldırıları senaryo bazlı olarak gerçekleştirmeyi sağlayan bir tekniktir. Sızma testi, KVKK ve ISO 27001 gibi güvenlik yönetmeliklerine uyum sağlanması, müşterilerin ve 3. tarafların güvenini kazanıılmasını ve bunların yanı sıra kurumların kendini daha güvende hissetmeleri için gerçekleştirilen, kuruluşların siber güvenlik risklerini yönetmelerini sağlayan ve veri ihlallerinin önüne geçmek için kullanılan etkili bir yöntemdir.
Sızma testinden en fazla faydayı sağlamak için farklı sızma testi türleri hakkında bilgi edilmesi faydalı olacaktır:
Ağ sızma testi
Adından da anlaşılacağı gibi, bir ağ sızma testi, ister şirket içinde ister bulut ortamlarında olsun, ağ altyapınızdaki zayıflıkları belirlemeyi amaçlar. Kritik verilerinizin güvenliğini sağlamak için yapılması gereken en yaygın ve önemli testlerden biridir.
Ağ sızma testi, güvenli olmayan yapılandırmalar, şifreleme açıkları ve eksik güvenlik yamaları dahil olmak üzere çok çeşitli denetimleri kapsar. Güvenlik uzmanları genellikle bu testi “dış/harici” ve “iç/dahili” olmak üzere iki farklı kapsamda sınıflandırırlar:
Dış sızma testi, internet erişimi olan herhangi bir saldırganın yararlanabileceği güvenlik açıklarını araştırmasını içerir. Bu senaryoda, kurumunuz hakkında önceden herhangi bir bilgiye sahibi olmayan saldırgan, kritik iş sistemlerinize ve verilerinize erişmeye çalışır.
Buna karşılık, iç sızma testi, dahili kurumsal bilişim ortamlarınızın test edilmesini hedeflemektedir. Bu tür testler, bir saldırganın, örneğin internete açık sistemlerinizden birindeki bir güvenlik açığından yararlanarak veya sosyal mühendislik kullanarak kurumsal ağınızda bir başlangıç noktası elde etmeyi başardığı senaryoları dikkate alır. Bu durumda test, hassas bilgileri ele geçirmek veya bir kuruluşun operasyonlarını olumsuz yönde etkilemek amacıyla ve kurum içinden yapılır.
Genel olarak dış zayıflıkların içeriden daha ciddi bir tehdit oluşturduğu kabul edilir. İlk olarak, bir bilgisayar korsanının dahili ağlarınıza erişmeden ve diğer sistemlere ulaşmadan önce harici bir güvenlik bariyerini aşması gerekir. İnternet’e açık altyapınızda güvenlik açıkları varsa, saldırganların ilk işe başlayacağı yer burasıdır. Bu nedenle, daha önce herhangi bir sızma testi yapmadıysanız, dış veya harici testler, genellikle başlamak için en iyi ortamlardır.
Web uygulaması sızma testi
Web uygulaması sızma testi, e-ticaret platformları, içerik yönetim sistemleri ve müşteri ilişkileri yönetimi yazılımları gibi web siteleri ve web uygulamalarındaki güvenlik açıklarını ortaya çıkarmayı hedefler. Bu tür testler, veri ihlallerini önlemek için web uygulamasının güvenliğini tümüyle gözden geçirmekle ilgilenir.
Web uygulaması sızma testleri sırasında tespit edilen en yaygın güvenlik açıkları; veritabanı enjeksiyonları, siteler arası komut dosyası çalıştırma (XSS) ve kimlik doğrulama açıkları olarak karşımıza çıkmaktadır. Web uygulamalarındaki farklı güvenlik açıkları türleri, bunların önem dereceleri ve bunlardan nasıl kaçınılabileceği konusunda daha fazla bilgi için Açık Web Uygulaması Güvenlik Projesi (Open Web Application Security Project – OWASP) incelenebilir. OWASP, birkaç yılda bir, binlerce uygulamadan toplanan verilere dayanarak, en yaygın ve tehlikeli web uygulaması güvenlik açıklarına ilişkin bulgularını derleyerek yayınlar.
Kurumsal firmalarda web uygulamalarının kullanım yaygınlığı, bu platformlarda depolanan ve alınıp/verilen değerli bilgiler göz önüne alındığında, web uygulama ortamlarının siber suçlular için çekici bir hedef olmaları şaşırtıcı değildir. Bu nedenle, kendi web tabanlı uygulamalarını geliştiren veya yöneten kuruluşlar, web uygulaması sızma testini kesinlikle dikkate almalıdır.
Otomatik sızma testi
Sızma testleri maliyetli ve seyrek olabileceğinden (genellikle yılda bir veya iki kez yapılır), birçok kişi/kurum, otomatik sızma testinin uygulanabilir olup olmadığını merak eder.
Sızma testlerinde her zaman yetenekli profesyoneller tarafından yürütülen manuel çalışma unsurları olacağından, bu testleri tamamen otomatikleştirmek mümkün olmamaktadır. Diğer yandan, uzmanların var olan her bir güvenlik açığını manuel olarak kontrol etmesi de çok yorucu ve zaman alıcı bir aktivitedir. Otomatik güvenlik açığı taramasının devreye girdiği yer burasıdır. Bu araçlarla zamanlaması ayarlanan taramalar yapılarak binlerce zayıflık hızla test edilebilir ve raporlanabilir. Bu nedenle, güvenlik açığı tarayıcılarının, bir penetrasyon testi araç setinin kritik bir parçasını oluşturması şaşırtıcı değildir.
Tam otomatik olmasa bile, sistemlerinizde sürekli olarak güvenlik açığı taramasını gerçekleştirmek ve bu güvenlik denetimini yıllık bir sızma testi ile birleştirmek, ortamlarınızda kapsamlı ve güvenilir bir siber güvenlik programı uygulamanıza imkan verecektir.
Sosyal mühendislik
Teknolojideki zayıflıkları bulmaya odaklanan ve daha önce açıklanan sızma testi türleriyle karşılaştırıldığında, sosyal mühendislik insan psikolojisinden yararlanarak, bir kişinin veya kuruluşun güvenliğini tehdit edecek kritik verileri ele geçirmeye çalışır.
Sosyal mühendislik çok çeşitli biçimlerde olabilir ve hem uzaktan (örneğin kimlik avı e-postaları, telefon görüşmeleri veya kısa mesajlar yoluyla kullanıcılardan hassas bilgilerin elde edilmesi) hem de yüz yüze ve belirli bir kurumda bulunularak gerçekleştirilebilir.
Bir sosyal mühendislik penetrasyon testinin başarısı büyük ölçüde, kamuya açık kaynaklı istihbarat (open-source intelligence – OSINT) ortamları kullanarak, hedeflenen bireyler veya organizasyonlar hakkında toplanan bilgilere bağlıdır. Bir penetrasyon testinin parçası olarak uygulanacak sosyal mühendislik senaryosu oluşturulurken büyük ölçüde hedefler hakkında açık kaynaklardan toplanan/keşfedilen bilgiler kullanılır.
Sosyal mühendislikte en yaygın saldırı vektörlerinden bir tanesi e-posta yoluyla gerçekleştirilen kimlik avı saldırısıdır. Kimlik avı saldırılarında çalışanlara, içinde kötü niyetli bir bağlantı yer alan bir e-posta gönderilir. İlgili çalışan bu bağlantıya tıkladığında, karşısına gelen ve saldırgan tarafından daha önce hazırlanmış sahte bir ekrana veri girmesi istenerek, kullanıcı kimlik bilgilerinin ele geçirilmesi hedeflenir. Bu tür saldırılar özellikle deneyimli penetrasyon test uzmanları tarafından gerçekleştirildiğinden başarı yüzdeleri oldukça yüksektir.
Günümüzde sosyal mühendislik sızma testleri, ağ veya web uygulama testleri kadar yaygın olarak benimsenmemiş olsa bile, kurumlardaki güvenlik farkındalııını artırmak, bu konudaki eksikleri belirlemek ve gidermek açısından büyük bir öneme sahiptir.
Red teaming (Kırmızı takım)
Bu ileri tekniğin kökeni askeri eğitim tatbikatlarına dayanmaktadır ve bir kuruluşun güvenliğine, süreçlerine, politikalarına ve planlarına meydan okumak için tasarlanmııtır. Buna karşılık, “savunma güvenliği” olarak da bilinen Mavi ekip oluşturma, gerçek hayattaki düımanların yanı sıra Kırmızı ekip saldırılarını tespit etmeyi ve bunlara karşı koymayı içerir.
Red Teaming, gerçek hayattaki saldırı senaryolarını uygulamak için dijital, sosyal ve fiziksel alanları birleştirir. Bu nedenle Red teaming, sızma testinden farklı bir işlem olarak kabul edilebilir ancak görevleri yukarıda açıklanan tüm sızma testi türlerini kapsamaktadır.
Standart bir sızma testinin amacı, belirli bir zaman diliminde mümkün olduğu kadar çok güvenlik açığı bulmaktır. Bu testin süresi doğal olarak işin kapsamı ile sınırlıdır; ancak gerçek hayattaki saldırganların takip edecekleri böyle bir kısıtlama yoktur. Sonuç olarak, bir kuruluş düzenli olarak sızma testleri ve güvenlik açığı taramaları yapsa bile, sosyal mühendislik ve iç ağ zayıflıklarının birlikte harmanlandığı daha karmaşık saldırılara maruz kalabilir. İşte burada Red teaming devreye girer ve organizasyonu bir bütün olarak değerlendirerek tüm parçaların birlikte nasıl çalıştığını anlamaya çalışır. Ardından, saldırganların yararlanabileceği yeni güvenlik açıklarını keşfetmek için eleştirel düşünmeyi uygular ve kuruluıun gerçek dünyadaki saldırılara yanıtını değerlendirmesine yardımcı olur.
Birkaç gün veya hafta süren standart sızma testiyle karşılaıtırıldığında, Red teaming değerlendirmelerinin tamamlanması genellikle çok daha uzun sürer. Karmaşık doğası nedeniyle Red teaming, genellikle daha büyük kuruluşlar veya yerleşik güvenlik programlarına sahip devlet kuruluşları tarafından gerçekleştirilir.
Son söz
Sızma testi, farklı teknikleri kapsayan geniş bir disiplindir, bu nedenle en uygun türü seçmek için kuruluşunuzun karşı karşıya olduğu göreceli riskleri anlamak önemlidir.
Kuruluşunuz için ne tür bir testin uygun olduğundan hala emin değilseniz, Center On Digital Bilişim Hizmetleri A.Ş.’nin size yardımcı olabilecek deneyimli yönetici ve uzmanlarından oluşan ekibine ulaşabilirsiniz.