SIZMA TESTÄ°
Penatrasyon (Sızma) bir kurumun sahip olduÄŸu biliÅŸim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması olarak tanımlanabilir. Kurum tarafından belirlenmiÅŸ biliÅŸim sistemlerine, saldırganların kullandığı yöntemler ile eriÅŸim elde edilmeyi amaçlar. Buradaki amaç sistemdeki güvenlik açıklarının bulunmasıyla beraber, yetkili eriÅŸimlerin de saÄŸlanmasıdır.
​
Sızma testi, sadece güvenlik açıklarını ortaya çıkarmakla da kalmaz. Bir kuruluÅŸun BT varlıklarına, verilerine, insanlarına ve fiziksel güvenliÄŸine karşı gerçek dünya saldırı vektörlerini ortaya koymak için bu açıkları kullanmak adına bir sonraki adımın nasıl atılacağına dair rehberlik yapar.
​
Bu noktada sızma testi ve zafiyet taraması sıkça karıştırılmaktadır. Oysa zafiyet taraması, hedef sistemdeki güvenlik açıklarının taranması ve sonucun raporlanmasından ibarettir. Sızma testi ise sisteme ait güvenlik açıklarının bulunup hedef sistem üzerinde bu açıkların nasıl kullanılarak ele geçirilmesidir ve bu iki aÅŸamayı da raporlar.
SIZMA TESTİ ÇEŞİTLERİ
WEB UYGULAMA TESTLERÄ°
Kapsam dahilinde kurumun internet ve intranet (Kurumun iç ağı) ortamında yayın yapan web sunucuları ve web uygulamaları test edilmektedir. Web uygulamalarının aşağıdaki zafiyet türlerine göre dayanıklılığı tespit edilmeye çalışılmaktadır. Kapsam dahilinde, internet bankacılığı, banka kurumsal sayfası gibi dışarı yayın yapan sunucu ve uygulamalar öncelikle test edilerek zafiyetler tespit edilmeye çalışılır.
ETKÄ° ALANI VE Ä°STEMCÄ° TARAFLI SIZMA TESTLERÄ°
Yetkisiz erişime imkân tanıyan dosya paylaşımları tespit edilerek, bu paylaşımlar ve paylaşımlardaki hassas veriler yoluyla hak yükseltme saldırıları gerçekleştirilecektir. Etki alanında bulunan ve ele geçirilen kullanıcı hesapları kullanılarak hak ve yetki yükseltme saldırıları uygulanarak etki alanındaki diğer sistemler ele geçirilmeye çalışılacaktır. Zararlı yazılım ve yetkisiz dosya çalıştırma işlemlerine karşı koruma politikaları kontrol edilecektir. Etki alanı içerisinde aktif veya pasif olarak kullanılan sistemler, servisler vb. tüm üçüncü parti uygulamalara ait zayıf ve ön tanımlı parola/hesap kullanımları tespit edilerek bu sistemler ele geçirilmeye çalışılacaktır. Ele geçirilen sistemler üzerinden elde edilen veriler kullanılarak hak ve yetki yükseltme saldırıyla diğer sistemler ele geçirilmeye çalışılacaktır.
NETWORK (AÄž) TESTLERÄ°
Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatik ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.
VERÄ° TABANI TESTLERÄ°
Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatize ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.
MOBÄ°L UYGULAMA TESTLERÄ°
Bu kapsam dahilinde mobil uygulamalar zafiyetleri test edilerek raporlanmıştır. Mobil uygulamaların şifre saklama, uygulama zayıflığı ve güvensiz iletişim testleri gerçekleştirilecektir. Bu kapsamda uygulanan testler aşağıda yer alan OWASP standartları dahilinde gerçekleştirilecektir.
DDOS (Dağıtık Servisdışı Bırakma) TESTLERİ
Gerçekleştirilen testler ile sızma testi kapsamındaki sunucuların ve servislerin olası servis dışı bırakma saldırılarına karşı ne kadar korunaklı oldukları tespit edilmeye çalışılacaktır. IT ve bilgi güvenliği ekibinin belirlediği tarih ve saatte kontrollü bir şekilde gerçekleştirilen bu servis dışı bırakma saldırıları hem uygulama katmanında hem de network katmanında yapılacaktır.
LOAD (YÜK
TESTLERÄ°)
Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatik ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.
SOSYAL MÜHENDÄ°SLÄ°K
TESTLERÄ°
Kapsam dahilinde yapılan sızma testlerinde erişilebilen tüm ağ cihazlarına yönelik otomatize ve manuel testler gerçekleştirilecektir. Aktif cihazlar üzerinde tespit edilen korumasız protokollere yönelik tahmin edilebilir basit parolalar ile varsayılan parolalar denenecektir. Kurum IT ve bilgi güvenliği ekiplerinin onayları dahilinde TCP/IP araya girme saldırıları (ARP Poisoning, DNS Spoofing vb.) gerçekleştirilecektir.
Sızma Testi Yürütme Standardı (PTES)’na göre 7 ana aÅŸamadan oluÅŸmaktadır.
1
Pre-engagement Interactions
Sızma testinin kapsamının, zamanının, iletiÅŸime geçilecek kiÅŸilerin ve teste kullanılacak araçların belirlenmesi aÅŸamasıdır.
4
Vulnerability Analysis:
Bilgi toplama aşamasında tespit edilen potansiyel girdi noktalarında bulunabilecek zafiyetlerin tespit edilme aşamasıdır.
7
Reporting:
Tespit edilen zafiyetlerin bildirilmesi ve ortadan kaldırılması için gerekli adımların neler olduÄŸunu, bulunan zafiyetlerin kritiklik seviyesinin ve bunların nasıl gerçekleÅŸtirileceÄŸinin raporlanması aÅŸamasıdır. Sızma aÅŸamalarında elde edilen bulgular rapor haline getirilir ve kök nedenler ayrıntılı olarak sunulur.
2
Intelligence Gathering:
Testin yapılacağı kurum hakkında aktif ve pasif bilgi toplanması ve potansiyel sızma noktalarının tespit edilmesi aşamasıdır.
5
Exploitation:
Zafiyetlerin sömürülerek hedef sistemin ele geçirilmesi aÅŸamasıdır.
3
Threat Modeling:
Bu aÅŸamada varlıkların tanımları yapılarak kategorileri belirlenir. Potansiyel tehdit ve tehdit toplulukları tanımlanarak, kategorilendirme iÅŸlemlerinin yardımıyla kurumun mevcutları ile buna karşı saldırganları odak noktasına alan bir tehdit model örneÄŸi oluÅŸturma aÅŸamasıdır.
6
Post Exploitation:
Ele geçirilen sistemde kalıcılığın saÄŸlanması, sistemde bulunan bilgilerin kritiklik derecesi ve diÄŸer hedeflerin ele geçirilmesinde kullanılması aÅŸamasıdır.