Penetrasyon Testi Nedir?
Teknolojinin gelişmesi ve dijitalleşmenin yaygınlaşmasıyla birlikte siber güvenlik çözümlerinin de önemi artıyor. Gartner’ın araştırmasına göre dünya genelinde her 35 saniyede bir siber saldırı gerçekleşiyor.
Türkiye ise siber saldırılardan en çok etkilenen 5. ülke durumundadır. Dolayısıyla olası siber saldırı ve tehditlere karşı kurumların önlem alması gerekiyor. Bu anlamda, penetrasyon testi, riskleri belirlemek ve raporlamak için kullanılan siber güvenlik çalışmalarından biri olarak öne çıkıyor.
Penetrasyon Testi Nedir?
Penetrasyon olarak adlandırılan sızma testi, kötü amaçlı saldırganlara karşı sistemleri koruma altına alabilmek için uygulanan bir simülasyondur. Sızma testi yapılarak hedeflenen sistem ya da verilere dışarıdan gelebilecek saldırı çeşitleri öngörülür ve önceden önlem alınır. Peki sızma testi uzmanı gerçek bir hacker gibi mi davranmalıdır? Evet, sızma testi uygulayanlar siber suçluların gerçek yaşamda kullandığı teknik ve yöntemler ile bilişim altyapısını ele geçirmeye çalışır. Sızma testini yapan güvenlik ekipleri hackerların düşünebileceği tüm sızma ve ele geçirme senaryolarını uygular ve çeşitli saldırı yöntemlerini denerler. Ardından sistem ve veriler hakkında elde ettikleri zafiyetleri, güvenlik açıklarını ve riskleri raporlarlar. Böylelikle kişi ya da kurumlar gerçek bir saldırı ile karşı karşıya kaldıklarında sistem ve güvenlik açığına yakalanma riskleri azalır.
Penetrasyon / Sızma Testi Aşamaları Nelerdir?
Sızma testi; kapsam / hedef belirleme, bilgi toplama, güvenlik açığı tespiti, bilgileri analiz etme ve planlama, sömürü, yetki yükseltme, temizlik ve raporlama olmak üzere 8 aşamadan oluşur. Sızma testinin aşamaları şunlardır:
1- Kapsam/ Hedef Belirleme
Kapsam/ hedef belirleme sızma testinin ilk aşamasıdır. Bu aşamada güvenlik ekipleri ve sistem kullanıcıları bir araya gelerek sızma testinin amacını ve hangi sistemler üzerinde uygulanacağını belirler. Sistem kullanıcıları sızma testini uygulayacak olan güvenlik ekiplerine bilişim altyapısı, testin yaklaşım türü ve testin yapılacağı sistemler hakkında bilgilendirme yaparlar. Güvenlik ekipleri ise sızma testi boyunca kullandığı IP adreslerini ilgili sistemi kullanan kişi ya da kurumlara iletir. Böylelikle yapılan saldırının bilinçli olduğunu diğer siber saldırılardan ayırmak mümkündür.
2- Bilgi Toplama
Kapsamda belirlenen hedefler doğrultusunda güvenlik ekipleri ilk olarak pasif yani sistem ile direkt olarak etkileşime geçmeyen çalışmalar yaparlar. Pasif çalışmalar sonucunda siber saldırganların hangi oranda bilgi edindiğini tespit ederler. Ardından aktif yani sistem ile direkt olarak etkileşime geçen çalışmalar yaparlar. Burada ise bilişim sisteminin altyapısı, sistem geliştiricisinin kullandığı programlama dili, uygulamaların versiyon bilgisi ve sistem fonksiyonlarının ne işe yaradığı gibi bilgileri toplarlar. Bu bilgileri ise bir sonraki aşama olan siber güvenlik açığını tespit etmede kullanırlar.
3- Güvenlik Açığı Tespiti
Sızma testini yapan güvenlik ekipleri ikinci aşamada topladıkları bilgiler doğrultusunda sistemde bulunan güvenlik açıklarını otomatize araçlar kullanarak tespit ederler. Güvenlik açıklarının tespiti sırasında sistemler otomatize araçlar sayesinde taranır. Otomatize araçlar, sistemlerin port, servis ve versiyon kontrollerini gerçekleştirir. Daha sonra siber güvenlik ekipleri manuel olarak çeşitli testler yaparlar. Bu sayede sistemin ilgili versiyonlarında güvenlik açığı olup olmadığını tespit edebilirler.
4- Bilgileri Analiz Etme ve Planlama
Siber güvenlik ekipleri bir önceki aşamalarda elde ettikleri bilgiler ve sistemlerde bulunan güvenlik açıkları doğrultusunda bu açıkların sömürülmesi için gerekli araştırma ve planlamaları yaparlar. Bu araştırmaların ardından sömürü için zararlı yazılım ve ofansif araçları hazırlarlar.
5- Sömürü
İlgili ekipler sistemde tespit ettikleri güvenlik açıklarını bir siber saldırgan bakış açısı ile sömürmeye ve bulunan güvenlik açığının sistem üzerine nasıl etki ettiğini anlamaya çalışırlar. Bu aşamada dışarıdan gelen olası siber saldırılara karşı saldırganların sisteme girip giremediği, hangi verilere erişebildiği ve sistem üzerinde ne tür yetkilere sahip olabildiği belirlenir.
6- Yetki Yükseltme
Yetki yükseltme aşamasında siber güvenlik ekipleri, saldırganların sisteme eriştikten sonra yetkilerini yükseltip yükseltemeyeceğini kontrol eder. Bu aşamada “Saldırganlar yetkisi olmayan dosyaları görebilir mi?”, “Kritik verilere erişim sağlayabilir mi?”, “Eriştiği sistemde hangi yollardan ilerleyebilir?” gibi sorulara çözüm yolları üretilir ve saldırganın sömürü sonrasında uygulayacağı olası yöntem ve teknikler simüle edilir.
7- Temizlik
Temizlik aşamasında sızma testi uygulanırken kullanılan yazılımlar, otomatik araçlar veya yüklenen dosyalar sistemden silinerek temizlenir.
8- Raporlama
Siber güvenlik ekipleri penetrasyon testi uygularken tüm aşamalarda karşılaştıkları sorunları, potansiyel riskleri ve çözüm önerilerinin özetini çıkararak raporlama yaparlar. Bu sayede var olan risklere karşı erken tedbir almak mümkündür.
Penetrasyon / Sızma Testinin Önemi Nedir?
Penetrasyon / sızma testinin kurumlar açısından önemi şu şekilde özetlenebilir:
- Sızma testi ile kurumun güvenlik altyapısını ve verimliliğini test edebilir ve denetleyebilirsiniz.
- Kurumunuza gelebilecek dış saldırılara karşı önlem alabilirsiniz.
- Erken önlem alarak sonrasında yaşanabilecek riskleri azaltabilir ve tehditlere karşı korunabilirsiniz.
- Siber güvenlik ve denetleme süreçlerinizi sistematik bir hale getirebilirsiniz.
- Firewall cihazlarının verimliliğini değerlendirebilirsiniz. Kurumunuzu ve itibarınızı siber tehditlere karşı korumak için Berqnet Firewall ile modern güvenlik yöntemleri inşa edebilirsiniz. Berqnet, tüm ağınızı tek bir platform aracılığıyla kolay bir şekilde yönetebilmenizi sağlar.
- Sızma testi ile saldırganların sisteme eriştiğinde nasıl bir sömürü yapabileceği konusunda aksiyonlar alabilirsiniz.
- Sızma testi; mevcut yazılım, donanım ve ağ altyapısındaki versiyonları kontrol etmenize yarar.
- Sızma testi ile karşı karşıya kalabileceğiniz tehditleri ortaya çıkararak risk değerlendirmesi yapabilirsiniz.
Penetrasyon / Sızma Testi Metodolojisi
Sızma testi blackbox, greybox ve whitebox olmak üzere toplam 3 metodolojiye ayrılır. Blackbox metodolojisinde kapsam Açık Kaynak İstihbaratı (OINST) tarafından belirlenir. Ekipler ilgili kurumun IP adreslerini, domainlerini ve subdomainlerini tespit eder ve testleri gerçekleştirirler. Greybox metodolojisinde ise kurum, kapsamı ve hedefi belirlemek için bazı bilgileri sızma testini yapacak olan ekipler ile paylaşır. Greybox metodu blackbox metoduna göre daha hızlı sonuç verir. Whitebox metodolojisinde ise kurum ve sızma testini yapan ekipler kapsam ve hedef belirlerken etkileşimde kalıp gerekli olan tüm bilgileri paylaşırlar. Whitebox sızma testi metodolojisinde sızma testi yapan ekipler; kapsam ve hedef belirlerken, kullanıcı hesapları oluştururken veya sistem altyapısı hakkında araştırma yaparken kurumdan bilgi aldıkları için daha hızlı sonuca varabilirler.
Sıkça Sorulan Sorular
Sızma testi ağ, sistem veya uygulamalar üzerinde yapılabilir. Web uygulama sızma testi, mobil sızma testi, network sızma testi, DOS/ DDoS sızma testi, sosyal mühendislik sızma testi ve wireless sızma testi olmak üzere çeşitli kategorilere ayrılır.
Penetrasyon / sızma testinde uzmanlar, açık kaynak kodlu ya da ticari yazılımları tercih edebilirler. Uzmanlar; sızma testinin hedefine, olası risklerin boyutuna ve sistem altyapısına uygun olan yazılım türünü ve araçları kullanır.
Internal (İç Ağ) sızma testinde uzmanlar, kurumda kullanılan ve yalnızca içeriye açık olan sistemleri incelerler. External (Dış Ağ) sızma testlerinde ise kurumun dışarıya açık sistemlerini incelerler. Bu yöntemler ile içe ya da dışa açık olan sistemlerde siber saldırganların hangi verilere erişebileceğini ve olası risklerin neler olduğunu tespit ederler.