top of page
Ofiste Gece Vardiyası

SIZMA TESTİ

Penatrasyon (Sızma) bir kurumun sahip olduğu bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması olarak tanımlanabilir. Kurum tarafından belirlenmiş bilişim sistemlerine, saldırganların kullandığı yöntemler ile erişim elde edilmeyi amaçlar. Buradaki amaç sistemdeki güvenlik açıklarının bulunmasıyla beraber, yetkili erişimlerin de sağlanmasıdır.

Sızma testi, sadece güvenlik açıklarını ortaya çıkarmakla da kalmaz. Bir kuruluşun BT varlıklarına, verilerine, insanlarına ve fiziksel güvenliğine karşı gerçek dünya saldırı vektörlerini ortaya koymak için bu açıkları kullanmak adına bir sonraki adımın nasıl atılacağına dair rehberlik yapar.

Bu noktada sızma testi ve zafiyet taraması sıkça karıştırılmaktadır. Oysa zafiyet taraması, hedef sistemdeki güvenlik açıklarının taranması ve sonucun raporlanmasından ibarettir. Sızma testi ise sisteme ait güvenlik açıklarının bulunup hedef sistem üzerinde bu açıkların nasıl kullanılarak ele geçirilmesidir ve bu iki aşamayı da raporlar.

SIZMA TESTİ ÇEŞİTLERİ

WEB UYGULAMA TESTLERİ

Kapsam dahilinde kurumun internet ve intranet (Kurumun iç ağı) ortamında yayın yapan web sunucuları ve web uygulamaları test edilmektedir. Web uygulamalarının aşağıdaki zafiyet türlerine göre dayanıklılığı tespit edilmeye çalışılmaktadır. Kapsam dahilinde, internet bankacılığı, banka kurumsal sayfası gibi dışarı yayın yapan sunucu ve uygulamalar öncelikle test edilerek zafiyetler tespit edilmeye çalışılır.

ETKİ ALANI VE İSTEMCİ TARAFLI SIZMA TESTLERİ

Yetkisiz erişime imkân tanıyan dosya paylaşımları tespit edilerek, bu paylaşımlar ve paylaşımlardaki hassas veriler yoluyla hak yükseltme saldırıları gerçekleştirilecektir. Etki alanında bulunan ve ele geçirilen kullanıcı hesapları kullanılarak hak ve yetki yükseltme saldırıları uygulanarak etki alanındaki diğer sistemler ele geçirilmeye çalışılacaktır. Zararlı yazılım ve yetkisiz dosya çalıştırma işlemlerine karşı koruma politikaları kontrol edilecektir. Etki alanı içerisinde aktif veya pasif olarak kullanılan sistemler, servisler vb. tüm üçüncü parti uygulamalara ait zayıf ve ön tanımlı parola/hesap kullanımları tespit edilerek bu sistemler ele geçirilmeye çalışılacaktır. Ele geçirilen sistemler üzerinden elde edilen veriler kullanılarak hak ve yetki yükseltme saldırıyla diğer sistemler ele geçirilmeye çalışılacaktır.

NETWORK (AĞ) TESTLERİ

Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatik ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.

VERİ TABANI TESTLERİ

Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatize ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.

MOBİL UYGULAMA TESTLERİ

Bu kapsam dahilinde mobil uygulamalar zafiyetleri test edilerek raporlanmıştır. Mobil uygulamaların şifre saklama, uygulama zayıflığı ve güvensiz iletişim testleri gerçekleştirilecektir. Bu kapsamda uygulanan testler aşağıda yer alan OWASP standartları dahilinde gerçekleştirilecektir.

DDOS (Dağıtık Servisdışı Bırakma) TESTLERİ

Gerçekleştirilen testler ile sızma testi kapsamındaki sunucuların ve servislerin olası servis dışı bırakma saldırılarına karşı ne kadar korunaklı oldukları tespit edilmeye çalışılacaktır. IT ve bilgi güvenliği ekibinin belirlediği tarih ve saatte kontrollü bir şekilde gerçekleştirilen bu servis dışı bırakma saldırıları hem uygulama katmanında hem de network katmanında yapılacaktır.

LOAD (YÜK
TESTLERİ)

Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatik ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.

SOSYAL MÜHENDİSLİK

TESTLERİ

Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatize ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.

Sızma Testi Yürütme Standardı (PTES)’na göre 7 ana aşamadan oluşmaktadır.

1

Pre-engagement Interactions

 Sızma testinin kapsamının, zamanının, iletişime geçilecek kişilerin ve teste kullanılacak araçların belirlenmesi aşamasıdır.

4

Vulnerability Analysis:

Bilgi toplama aşamasında tespit edilen potansiyel girdi noktalarında bulunabilecek zafiyetlerin tespit edilme aşamasıdır.

7

Reporting:

Tespit edilen zafiyetlerin bildirilmesi ve ortadan kaldırılması için gerekli adımların neler olduğunu, bulunan zafiyetlerin kritiklik seviyesinin ve bunların nasıl gerçekleştirileceğinin raporlanması aşamasıdır. Sızma aşamalarında elde edilen bulgular rapor haline getirilir ve kök nedenler ayrıntılı olarak sunulur.

2

Intelligence Gathering:

Testin yapılacağı kurum hakkında aktif ve pasif bilgi toplanması ve potansiyel sızma noktalarının tespit edilmesi aşamasıdır.

5

Exploitation:

Zafiyetlerin sömürülerek hedef sistemin ele geçirilmesi aşamasıdır.

3

Threat Modeling:

Bu aşamada varlıkların tanımları yapılarak kategorileri belirlenir. Potansiyel tehdit ve tehdit toplulukları tanımlanarak, kategorilendirme işlemlerinin yardımıyla kurumun mevcutları ile buna karşı saldırganları odak noktasına alan bir tehdit model örneği oluşturma aşamasıdır.

6

Post Exploitation:

Ele geçirilen sistemde kalıcılığın sağlanması, sistemde bulunan bilgilerin kritiklik derecesi ve diğer hedeflerin ele geçirilmesinde kullanılması aşamasıdır.

SIZMA TESTİ TÜRLERİ

Blackbox: Yapı veya sistem hakkında testi gerçekleştirecek uzmana herhangi bir bilgi verilmez. Dış test olarak da bilinmektedir.
bottom of page