Sızma Testi Aşamaları ve Kullanılan Araçlar Nelerdir?
Sızma Testi Nedir?
Sızma testi nasıl yapıldığı konusunda ve ne olduğunu hakkında sizlere şu şekilde açıklayalım. Sızma testi yani penetrasyon testi, kötü niyetli saldırılar içerir ya da sistemlere ve verilere zarar verebileceği ve bu zararları önceden görebilmek ve önlemleri almamızı amaçlayan saldırı simülasyonudur. Şahısların mühim bir güvenlik açıklığı tespit sürecidir ve firmaların siber zayıflıkları tespit edebilmek için öncellikle kullandığı temel yöntemdir. Penetrasyon, wifi ağlarımızda ve sistemlerinizdeki karşı savunmasız gücü olmayan yerlerini keşfedilmesi ve onları meydana yakınlaşması ile sisteminize karşı simüle edilmiş bir siber saldırının başlatılmasını içerir.
Penetrasyon testi esnasında ağınızdaki ya da uygulamalarınızdaki herhangi bir sayıda amaçlayabilir. Hizmetlerinizden güvenlik duvarınıza ve API’lerinize kadar her şey penetrasyon grubu maksadıyla geçerli bir amacı olabilir.
En çok hedeflenen sistem güvenlik açıklarından bazıları aşağıdakileri içerir:
- Zayıf veya kusurlu yapılandırma
- Güncel ve mevcut yazılım güvenlik açıkları
- Sunucularla ilgili bilinen ve bilinmeyen kusurlar
- Zayıf dijital güvenlik yanıt protokolleri
- Düşük siber güvenlik kullanıcı farkındalığı
- Kullanılmayan uygulamalar veya işletim sistemleri
Penetrasyon ile kullanılan sistemlerle herhangi biri elverişli bir şekilde sızarsa, bu size siber güvenlik zayıflıklarınızın ne zaman olduğu ve bunlardan oldukça basit yararlanılabileceği hususunda faydalı bilgiler verecektir. Sonrasında ise bütün bu bilgilerin, siber güvenlik stratejinizi geliştirmek ve ağınızı korumaya faydalı olmak için kullanabilmekteyiz.
Sızma Testi Türleri nelerdir?
Başlatılan saldırının türü, testi kimin yürüttüğü ve test ekibine sistem hakkında verilen bilgi seviyesi gibi bir dizi değişkenlere ait olarak çeşitli sızma testleri ve biçimleri vardır. İyi tasarlanmış bir sızma testi, bambaşka gerçek hayat senaryolarının içerdiğinden emin olmak amacıyla yani çözümlemelerin birden çok değişkenliği hesaba katacaktır.
1. Farkındalık düzeyine göre sızma testi çeşitleri
Tıpkı sızma testi yapanlara diğer hedefler verilir ve yöntemle ilgili olarak az çok bilgi verilebileceğinden çoğunlukla değiştirebiliriz. Sistem yöneticilerinin testlere ilişkin bir bilgi sahibi olup olmadığı ve test edilen şeyin ne kadar bildiğini de değişken olarak kullanılabilir.
Kara Kutu Testi (Black Box Testing)
Öncelikle, sızma testi yapanlar için en güçlü varyasyondur. Bu senaryoda, sızma testini yapanlar ise yöntem hakkında tek bir bilgiye dahil sahip olmayacaklardır ve tıpkı gerçek bir siber saldırganların yapacağının benzerisi olmasıyla, tam anlamıyla yabancı olmasıyla sistemi zarar vermeye çalışır. Kara kutu testi iki değişik şekilde yapılabilir:
Blind testing: Sızma testi kullanıcılarına ise sistemle ilişkin önceden bilgi verilmesi doğru değildir, ya da çalışacakları çok sınırlı bir miktar bilgi (sadece firmanın adı) verilir. Şirketlerde ise personellere bir sızma testi yapıldığının farkındadır.
Double-blind testing:Bu sistemle ise kara kutu testini diğer seviyeye taşır. Double-blind testte ve sızma testi yapanlar sistem ilişkili hiçbir şey bilmez ve amaç ise firmanın personelleri ise testten haberdar değildir. Sızma testi ilişkili sadece işin ancak bir ya da iki kilit üyesinin bilgisi olduğuna göre gerçek bir siber saldırı gibi herkesi buna hazırlıksız yakalayabilir.
Avantajları:Kara kutu testi, gizlemli bir siber saldırının sonucundan nelerin ortaya çıkarılacağı ve şirketimiz üzerindeki izlenim hakkında size doğru bir düşünce verir. Güvenlik açığı tespitine yaklaşmanın en gerçekçi yöntemi ve sisteminizdeki zayıflıklarla dair öncesinde bilgisi olmadığında hemen başlamak iyi bir yerdir.
Dezavantajları:Kara kutu testi, sızma testi edenler için daha yüksek bir maliyete sebep olabilecek aşırı çok keşif süresi gerektirebilir.
Beyaz Kutu Testi (White Box Testing)
Beyaz kutu testi, bir sistemin iç yapısını, tasarımını ve kodunu inceler ve sızma testi yapanlara ise amaç ağ hakkında detaylı bilgi verilir. Mevcut güvenlik protokollerinden ve şebeke temelinde, bilinen mevcut güvenlik açıklarına ve sistemin yönelme olduğu için yanlış yapılandırmalara gibi her şeye erişebilir.
Beyaz kutu testi, test etmek amacıyla aynı anda çalışan test edicilerden ve firma güvenlik uzmanlarından oluşan amacı bir sızma testidir. Her iki doğrultuda simüle edilmiş saldırının farkında ve birbirine karşılıklı olarak çalışır. Bir taraf sızmaya ve öbürü savunmaya çalışır. Bu çeşit bir çalışma, personellerin kendi eylemlerini doğru zamanlı olarak hackerlerin gözünden görmeleri için kusursuz bir yoldur.
Avantajları:Beyaz kutu testi aşırı detaylı olduğu için, sistemin en yüksek niteliğiyle güvenlik açıklarını kazançlı şekilde keşfetmenize imkân tanır. Testi yapanlar bir kara kutu testinden fazlasıyla bilgiye sahip olduklarından, belirli sorunları amaçlamak ve çeşitli yollardan detaylı olarak araştırmak artık kolaydır. Koddaki gizli yanlışlıkları işlem esnasında açığa çıkabilir ve bu da artık kodun ve sistem verimliliğinin optimize edilmesine destek olur.
Dezavantajları:Beyaz kutu testi, nitelikli bilgi ve özel araçlar gerektirir ve detaylı yapısı sebebiyle tamamlanması artık uzun sürmektedir. Bu, süreci epeyce pahalı hale getirebilir ve bu sebeple yapılması bütçeye sahip olmayan küçük işletmeler için uygun olmayabilir.
Doğrusu, en iyi savunma sonuçlarını elde etmek amacıyla hem beyaz kutu hem de kara kutu yöntemlerinden bir bağlanma gereklidir. Bu nedenle, bazı pentest yapanlar bir uzlaşma olarak “Gri Kutu – Grey Box” yöntemleri kullanır. Gri kutu testi halinde, sızma testi yapacak olanlara üzerinde çalışacakları sınırlı nicelikte bilgi verilir. Bu yüzden sıfırdan başlamazlar, yalnız aynı zamanda daha amaçlı bir eylem niteliğine sahiptirler. Grey box testi, siyah ve beyaz testiyle ait daha maksimum maliyet, boyut ve kapsam sebebiyle en yaygın penetrasyon testi tipidir.
2. Kaynağa göre sızma testi türleri
Siber saldırılar hem dışındaki hem de kapsayan kaynaklardan gelebilir, bu sebeple hem dışardaki hem de kapsayan sızma testleri uygun bir seçenektir.
1. Harici Test
Harici test, bir IP adresi bankasının test edilmesidir. Halka açık bir sisteme uzaktan işleme edilip edilemeyeceğini öğrenmek amacıyla kullanılır. Çağdaş güvenlik duvarları ve güvenli bulut, stoklamak sistemleri, insanın yanlışları ve hata yapılandırmalar nedeniyle daha yüksek riske karşı karşıya kalabilir ve dışındaki sızma testi uzmanları bu güvenlik açıklarından faydalanmaya çalışır.
2. Dahili Test
Firmamız içinden gelen kötü amaçlı bir saldırıyı simüle etmek için kapsayan bir penetrasyon testi tasarlanır; bu, saldırganın kapsayanın kimlik bilgilerine erişebileceği anlamına gelir. Kapsamlı saldırılar, aktif olarak firmaya hasar vermeye çalışan hoşnutsuz bir personelle, kimlik avı ya da diğer veri kurallara uyulma yöntemleri tarafından oturum açma bilgilerini çalarak içeren bilgilere erişimi elde eden bir hacker ile ilgili olabilir
Penetrasyon Testinin Aşamaları Nelerdir?
Her kim olursa bir kendine özgü penetrasyon testini tamamlanması gereken beş asıl adım vardır:
1. Kapsam belirleme ve bilgi toplama işlemi
Bir sızma testi ekibi aracığıyla her kim olursa olsun bir işlem yapılmadan önce olası hedefle ilişkin yeterli bilgi toplama işlemi tamamlanmalıdır. Bu dönem, bir saldırı planı oluşturmak için yaşamı önem taşır ve hazırlık zemini olarak hizmet eder.
2. Zafiyet tarama
Araştırma aşamasının ardından, güvenlik sistemlerinin birçok zarar verme girişimlerine nasıl karşı koyacağını açıklanmasını etmek amacıyla hedef üzerinde bir dizi tarama gerçekleştirilir. Penetrasyon Testi yapanlar sisteme türlü bilgi paketleri gönderir ve nasıl cevap verildiğini görür. İrtibat noktasında taramasından giriş noktalarını belirlemeye, internet adreslerini taramaya ve sistemde yüklü olan şeyler üzerinde bilgi toplamaya derecesinde kullandığınız bütün kodlar sadece bir saldırı taranabilir.
3. Sisteme sızma nedir?
Veriler toplandıktan hemen sonrasında, penetrasyon testi yapanlar mevcut güvenlik açıklarından faydalanmak amacıyla SQL Injection ve Cross-Site Scripting gibi yaygın web uygulaması saldırılarından faydalanır. Erişim elde edildikten sonra, testi yapanlar kötü amaçlı bir saldırıdan kaynaklanabilecek olası zararların kapsamını özenti olmaya çalışır.
4. Erişimi koruma
Etik hackerler, sisteme girdikten sonra, olası olduğu amacıyla uzun süre bilgi çekmelerini sağlayacaktır. Erişimi korumanın bir yolunu arar. Mesela, bir Truva Atı kurmak, bir sistemin içine kod yerleştirmenin ve onu etkin olarak arka planda kesintiye sebep olacak şekilde tutmanın şahane bir yolu vardır. Kesiklikle, tespit edilmekten önce tolerans yapılmalıdır, dolasıyla kimse güvenlik bozulduğunun farkında olmadığı sürece hiç kimse onu düzeltmeye çalışmayacaktır.
Penetrasyon testi, yapanlar üstelik giriş noktalarını güvenceye almaya ve şimdiye kadar birçok erişimi, açık tutmaya çalışabilir. Hackerler bir arka kapı ekleyerek ya da tuş kaydedicileri kullanarak bir sisteme kod yazabilir ve bu da istedikleri zaman içeri girmelerine izin verir. Bilgisayar korsanları hedef bir cihaza erişebilmesi amacıyla cihazı kontrol etmesini sağlayabilir bu rootkit yazılımı tasarlanmış kötü amaçlı yazılım türüdür. Bir rootkit desteğiyle, Penetrasyon testi yapanlar bir ağ veya sistem hakları yükseltebilir.
5. Analiz ve Raporlama
Son olarak, sızma testi ekibi testin sonuçlarını analiz eder. Sızma testinin hedefe, işletmenin siber güvenlik ekibine yararlı bilgiler ve eyleme geçirilebilir öneriler sağlamaktır.
Rapor, test ekibi aracığıyla kullanılan sistemleri, tespit edilen güvenlik açıklarını ve bunların nasıl düzeltilebileceğine ait önerileri açıklamalıdır. Bu öneriler, güvenliği güçlendirmenin ve bir saldırı olduğunda ve gerçekleştiğinde cevabının iyileştirmenin yollarını içerebilir. Diğer durumlarda, önerilen değişiklikler yerindeyken sistemin yeniden test edilmesini içeren yedinci bir sızma testi adımı vardır.
Penetrasyon Araçları
Penetrasyon, yaygın olarak kullanılan bir uygulamadır, bu sebeple de piyasada pek çok penetrasyon aracı bulanabilir sızma testi esnasında bunlardan çeşitli şekillerde faydalanabilir. Pek çok karşılık ödemeden alınan veya açık kaynaklı sızma testi yazılımı ile penetrasyon uzmanları, maliyet konusunda kuşkusuzca kodu uygun gördükleri şekilde uygulama ve değiştirme özgürlüğüne sahip olacaklardır.
Üstelik, hackerler topluluğunda pek çok kod açıkça paylaşıldığından sonra, penetrasyon testi yapanların ve hackerler çoğunlukla aynı araçları kullanmasına destek olur. Tıpkı bir araç kutusunu kullanmak, simüle edilmiş saldırının olası olduğu doğru şeylere yakın olmasını sağlamanın iyi bir yoludur.
Penetrasyon Testi Ne Zaman Yapılır?
Siber güvenliğini devam etmesini sağlamak amacıyla yılda en az iki kez gerçekleştirilen düzenli penetrasyon testleriniz olmalıdır. Kesintisiz olarak devam eden tehlikeli bir hale gelmesiyle bu testi usulca üç ayda bir yapılan bir uygulama durumunda da getirilebilir ve güvenlik açığı ölçümlemeler daha sık yapabilirsiniz.
Sızma testi söz konusu olduğunda “hepsine uyan tek bir çözüm yolu” yoktur, bunların tamamı şirketlerin büyüklüğüne, bütçesine ve üstelik kendi sektörünüzdeki düzenlemelere bağlıdır. Mesela veri koruma kanunlar ve veri güvenliği standartlarına uygun kalmak amacıyla bazı işletmelerin kanunen daha sık penetrasyon yaptırmaları gerekmektedir
İşletmenizin Neden Bir Penetrasyon Testine İhtiyacı Var?
Siber güvenliği güncel tutmak amacıyla, güvenilirliğiniz ve işinizin sorunsuz şekilde yürütülmesi önemlidir bunları gerçekleştirmek güvenlik açısında önemli yarar sağlayacaktır:
- Kişisel veriler ve finansal bilgiler gibi yüksek tehlikeli amaçları belirleme.
- Sisteminizdeki savunmasız bozulmasına karşı gelme noktalarını ortaya çıkarma
- Mevcut kodda yanlış bulma.
- Siber güvenlik farkındalık eğitimi gereksinimi belirleme.
- Siber güvenlik duruşunuzu iyileştirme.
- Sektörünüzdeki güvenlik standartlarıyla uygunluk sağlama.
- Güvenlik açığı yorumlama yeterliliğini doğrulama.
Hazırlayan: Seyhan ÖZKAYA