SIZMA TESTİ KILAVUZU

Her gün birkaç milyon wordpress sitesinin hacklendiğini biliyor musunuz? Kulağa korkutmak için söylenmiş rakamlar gibi gelse hedefler arasında yalnızca Wordpress siteleri yok… Diğer siteler, kurumların ağları, kişisel bilgisayarlar ve çeşitli IoT (Internet of Things) araçları da hacklenebilir hedefler arasındalar. Güvenilir bir kaynak olan Privacy Rights Clearinghouse’dan yapıla açıklamaya göre 2017 – 2018 seneleri arasında 1.946.181.599 adet kişisel bilgi çalındı. Buna ek olarak çeşitli kaynaklar siber saldırıların vereceği zararın 2020 senesinde 20 milyon doları bulacağını öngörüyor.
Tüm bu hedeflerin kolaylıkla hacklenmesi ve siber saldırıların dudak uçuklatan bir hızda artmasının sebeplerinin başında, sağlıklı bir sızma testi yaptırmamak geliyor. Bu yazımızda siber güvenlik sektöründe penetrasyon testi olarak da bilinen ofansif/ saldırgan güvenlik önlemini mercek altına alacak ve ana hatlarıyla bir kullanım kılavuzu anlatacağız.

Sızma Testi Yaptırmadan Önce…

Penetrasyon testi yaptırmadan önce bilmeniz gereken ilk kural, ülkemizde izinsiz olarak bir şahsın bilgisayarını hacklemenin yasadışı olduğudur. Hedef birey veya herhangi bir kurum olabilir; kim olursa olsun hack eylemi gerçekleştirmek anayasada belirlenmiş bir suçtur.
Bilindiği gibi sızma testi sisteminizdeki açıkları bulmak amacıyla yapılan bir nevi tatbikattır. Bu tatbikatta beyaz şapkalı hackerlar test yapılan sistemde yönetici yetkisi elde etmeye çalışır ve tıpkı bir saldırgan gibi hareket ederler. Bununla beraber hiçbir zarar vermezler ve gerçek bir saldırgan olsaydı neler yapabileceğini raporlamakla yetinirler. Bu raporla sonlanan sızma testi akabinde gerekli önlemler alınır.
Tüm bu bilgiler ışığında, herhangi bir penetrasyon testi gerçekleştirmeden önce mutlaka sistemin yasal yetkilisi/ sahibi ile görüşülmeli ve kendisinden onay alınmalıdır. Sisteminize sizden izin almadan herhangi bir sızma gerçekleştiren ve akabinde size bunu bildiren kişiler yasal olarak suç işlemişlerdir. Bu aşamada nasıl bir aksiyon alacağınız kararınıza bağlıdır.

Sızma Testi Neden Önemlidir?

Günümüze kadar olan siber saldırıların maliyetini ve ağır sonuçlarını göz önünde bulundurduğumuzda cevabı çok da zor olmayan bu soruyu biraz daha detaylı olarak cevaplayalım:

a) Finans kulvarında bilgilerinizin güvende kalması, olası bir saldırıya karşı hazır olması ve güvenlik açıklarının kapatılması için gereklidir. Aksi takdirde insan veya yazılım kaynaklı bir açıktan banka hesabınızda istemediğiniz sonuçlar görmeniz işten bile değildir.

b) Sisteminizin hacklenmediğinden emin olmak, içeri sızmış ve büyümekte olan bir saldırıyı saptamak ve siber güvenliğinizi muhafaza etmek için sızma testi iyi bir yöntemdir.

c) Hack saldırısına uğramış ve hacklenmiş bir sistem için bile sızma testi oldukça yararlıdır. Bu koşullarda yapılan bir test kapatılmamış açıkları saptar ve tekrarlanacak bir saldırıya karşı tam anlamıyla hazır olunmasını sağlar.
Bu maddelere ek olarak, sürekli saldırının yaşandığı ve yeni sızma yöntemlerinin keşfedildiği/ geliştirildiği bir ortamda tetikte olmak her zaman en mantıklı seçenektir. Dolayısıyla uygun görülen sıklıkta yapılacak sızma testi sayesinde sisteminizi çok daha güvenli kılabilirsiniz.

Sızma Testi Tipleri

Kendi içlerinde çeşitleri farklılaşsa da sızma testleri ana kategori olarak üçe ayrılırlar. Bu kategorileştirmede tatbikatı yapılan saldırının tipi, test yapılan kurumun özellikleri, kritik bilgilerin konumu ve benzeri kıstaslar bulunmaktadır. Bu özelliklere kısaca göz atalım:
a) Kara Kutu Testi (Black Box Testing): Bu yöntemde test edilen sistem, test eden ekip için adeta bir kara kutudur. Test eden taraf herhangi bir bilgiye önceden sahip değildir.
b) Beyaz Kutu Testi (White Box Testing): Bu test etme yönteminde test yapan tarafa gerekli tüm bilgiler verilir. Bunun yapılmasının ana sebebi, içeriye/ ekibe sızmış birisi gibi davranarak sızma testi yaptırabilmektir. İstatistiksel olarak içeriden bir ajanla yapılan siber saldırılar her sene artmaktadır.
c) Gri Kutu Testi (Gray Box Testing): Bu yöntemde bazı bilgiler test yapan kişiye verilir. Spesifik bir senaryoda veya test yaptıran taraf bazı bilgileri paylaşmak istemediğinde kullanılan bir yöntemdir.

Sızma Testinde Aşamalar

Türlerini tanıdıktan sonra kurumunuzu daha güvenli kılmak için alabileceğiniz penetrasyon testi hizmetinin aşamalarına kısaca göz atmakta yarar var. Böylece süreci kendi gözünüzle görebilir, arzu ettiğiniz yerde bilgi talep edebilirsiniz.

Aşama 1: Planlama

Bu aşamada testin stratejisi ve hedefi belirlenir. Bulunan mevcut güvenlik önlemleri gözden geçirilir. Ulusal güvenlik talepleri ve yönetmelikler göz önünde bulundurulur.

Aşama 2: Keşif

Keşif aşaması sızma testi için oldukça önemli bir aşamadır. Şifreler, veriler, kullanıcı adları, zaafa yatkın ekip üyeleri, ve benzeri bilgiler bu aşamada toplanır. Aşamaya hackerlar arasında Parmak İzi Çıkartma (Fingerprinting) da denmektedir.
Buna ek olarak portlar saptanır ve derinlemesine araştırılır. Böylece yapılacak saldırı tatbikatının yol haritası için bilgi elde edilmiş olur. Bu bilgilere eşlik olarak sistem detaylı olarak incelenir ve olası bir zafiyet için tarama yapılır.

Aşama 3: Saldırı

Bu aşamada sızma testi ekibi ihtiyaç duyduğu yetkiyi elde etmeye çalışır. Bunu elde ettikten sonra açıkları, zaafları, sızabileceği eksiklikleri gözlemler.

Aşama 4: Raporlama

Gerekli sızmaları gerçekleştiren sızma testi ekibi süreç boyunca kullandığı yolları raporlar. Elde ettiği konumda sistem üzerinde gerçekleştirebileceği zararları saptar ve raporlar. Böylece, bir saldırgan gibi davranan sızma testi ekibi sistemdeki zaafları bizzat keşfetmiş olur. Hazırlanan rapor alınabilecek önlem ve geliştirmeler de eklenerek tamamlanmış olur.

Sonuç

Siber saldırı istatistiklerine bakıldığında, hangi ölçekte olursa olsun herhangi bir şirketin saldırıya uğrama olasılığı oldukça yüksektir.
Sızma Testi için Titaniğin buzdağına çarpmadan önce olası bir buzdağını kurgulayarak geminin limitlerini saptaması ve buna göre gerekli önlemleri alması diyebiliriz.
Siz de buzdağını görmeden önce yani kurumunuzu batırma ihtimali yüksek bir saldırıya uğramadan önlem almak istiyorsanız, Rootcon olarak sizin yanınızdayız. İşinin ehli ekibimiz derinlemesine sızma testi hizmeti vererek, her adımı titizlikle raporlar. Detaylı bilgiye ulaşmak için tıklayınız.
Güvenli günler dileriz.