Sızma (Penetrasyon) Testi

Sızma testinin konusu olan bilgi dediğimizde akla gerçek kişilere ait kişisel ve özel nitelikli veriler ile kuruluşlar için kritik öneme sahip gizli kalması gereken bilgiler gelmelidir.

Bilgi, içinde bulunduğumuz iletişim çağında bir kuruluşun veya gerçek kişinin en önemli varlıklarından biridir. Bu kapsamda bilginin temel güvenlik özellikleri olan gizlilik, bütünlük ve erişilebilirlik özelliklerinin korunması çok  kritik ve kaçınılmazdır. Bu özelliklerden herhangi birinin zarar görmesi etki seviyesine göre kuruma zarar verir. Bu sebeple bilginin işlendiği sistemler ve uygulamalar düzenli olarak güvenlik testlerine tabi tutulmak suretiyle dışarıdan ve içeriden gelebilecek saldırılara karşı, bu sistem ve uygulamalardaki zafiyetler tespit edilerek kapatılmalıdır.

Sızma testleri aslında bilginin bulunduğu sistem veya uygulamalara bir hacker gibi sızıp güvenlik açıklarını tespit etmektir. Bu işlemi yapan kişilere beyaz şapkalı hacker adı verilir. (Ethical Hacker).

Ethical hacker’ın uyması gereken kurallar arasında güvenliği test edilecek olan kuruluşun ağ ve bilişim altyapısını taramak ve tehditleri ortaya çıkarmak için yazılı izin alınması, kurumun ve bireylerin mahremiyetinin korunması, sonradan istismara yol açacak herhangi bir iz bırakılmaması ve belirlenen tüm güvenlik risklerine ait bulguların çözüm önerileriyle birlikte iyi bir şekilde raporlanması sayılabilir.

SZUTEST TEKNOLOJİ, yapacağı sızma testleri sonucunda, alanında tecrübeli, sertifikalı ve kayıtlı sızma testi uzmanları ile bilgi güvenliğinize yönelik tehditleri ve açıkları tespit etmeyi ve çözüm önerileri sunmayı amaçlamaktadır.

SIZMA TESTİ NEDEN GEREKLİDİR?

Bazı kanun, yönetmelik ve standartlar çerçevesinde Sızma Testi (Pentest, Penetrasyon Testi) yapılması veya yaptırılması zorunludur.

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK),
  • Avrupa Birliği Veri Koruma Tüzüğü (EU GDPR),
  • Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik,
  • Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Genelgesi,
  • ISO/IEC 27701 Kişisel Veri Yönetim Sistemi (KVYS),
  • ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS),
  • ISO/IEC 22301 İş Sürekliliği Yönetim Sistmei (ISYS),
  • Bilgi ve İlgili Teknoloji İçin Kontrol Hedefleri (COBİT),
  • Bilgi Teknolojileri Altyapı Kütüphanesi (ITIL),
  • Ödeme Kartları Endüstrisi Veri Güvenliği Standartları (PCI DSS),
  • Güven Damgası vb.

SIZMA TESTİNİ KİMLER YAPTIRMALIDIR?

Sızma testini yukarıdaki mevzuatlardan sorumlu olan tüm gerçek ve tüzel kişilerin yaptırması gerekmektedir.

SIZMA TESTİNİN FAYDALARI NELERDİR?

  • Güvenlik açıklarını ortaya çıkarır
  • Gerçek riskleri gösterir
  • Siber savunma yeteneğinizi test edebilirsiniz
  • İş sürekliliğini sağlamayı amaçlar
  • Üçüncü taraf bir uzman görüşüne sahip olursunuz
  • Yönetmeliklere ve sertifikalara uyum sağlarsınız
  • Güvenilirliğinizi ve itibarınızı korumaya devam edersiniz

SIZMA TESTİ TÜRLERİ

Sızma testleri İçeriden veya Dışarıdan yapılan testler olarak ikiye ayrılır.

Beyaz Kutu (White Box) Testi: Beyaz kutu ağ’daki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Test uzmanının dışarıdan ya da içeriden ağa girmeye ve zarar vermeye çalışmasının simülasyonudur.

Siyah Kutu (Black Box) Testi: Siyah kutu testi saldırı yapılacak ağ hakkında hiçbir bilgi sahibi olmadan dışarıdan ağa ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanmasını sağlar.

Gri Kutu (Grey Box) Testi: Gri kutu testi iç ağda bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve ağ paket kaydedicilerine karşı ağ zayıflıkları denetlenir.

Ağ ve sistem altyapısı sızma testleri

Hedef sistemin ağ ve sistem altyapısına yönelik gerçekleştirilen sızma testleridir.

Web uygulamaları sızma testleri

Hedef sistemde kullanılan platform ve geliştirme dillerinden bağımsız olarak gerçekleştirilen sızma testleridir.

Veritabanları sızma testleri

Veri tabanlarına (Oracle, MSSQL, MYSQL vb.) yapılan sızma testleridir. (SQL İnjection simulasyonu gibi)

Mobil uygulamalar sızma testleri

Akıllı telefon, tablet bilgisayar gibi sistemler ve bu sistemlerde çalışan uygulamalar üzerine yapılan sızma testleridir.

Kablosuz ağlar sızma testleri

Kablosuz ağları ve bu ağda yer alan cihazları hedef alan sızma testleridir.

Endüstriyel kontrol sistemleri sızma testleri

Bir tesiste veya işletmede yer alan tüm ekipmanların merkezi denetleme kontrol  ve  veri  toplama sistemlerine (SCADA) yönelik gerçekleştirilen sızma testleridir.

Hizmeti aksatma saldırıları (DoS/DDoS)

Hizmeti aksatma saldırıları bir sızma testi değildir. Ancak; bilgi güvenliğinin üç ana bileşeninden birisi olan erişilebilirliği doğrudan hedef aldığı ve günümüzde bu konunun önemi arttığı için bu program kapsamında bahsedilmiştir.

Sosyal mühendislik sızma testleri

Sosyal Mühendislik testleri, çeşitli yöntemlerle kullanıcıları aldatmaya yönelik testlerdir.  Bu yöntemler telefon konuşması vb. sözlü iletişim ile olabildiği gibi, e-posta ile yapılan oltalama saldırıları gibi teknik araçlar kullanarak da yapılabilir.

Fiziksel sızma testleri

Bilişim sistemlerine yönelik sızma testleri genel olarak ağ iletişimi üzerine odaklansa da çok eski bir yöntem olan fiziksel sızmalar önemini korumaktadır. Fiziksel sızma testi, önemli bir cihaza yerinde müdahale edilmesi olabileceği gibi cihazın bulunduğu konumdan başka bir konuma nakledilmesi de olabilir.

SIZMA TESTİ STANDARTLARI

  • OSSTMM (The Open Source Security Testing Methodology Manual)
  • OWASP (Open Web Application Security Project)
  • NIST SP800-115
  • PTES (Penetration Testing Execution Standart)
  • ISSAF (Information Systems Security Assessment Framework)
  • FedRAMP

SIZMA TESTİ METODOLOJİSİ

Planlama, Uygulama, Raporlama şeklinde 3 aşamadan oluşur.

  • Ön irtibat
  • Bilgi toplama
  • Tehdit modelleme
  • Zafiyet analizi
  • Sızma
  • Sızma Sonrası
  • Raporlama
  • Doğrulama Testi