Sızma testi bilişim sistemlerinizde istismar edebilecek açıkları kontrol , tespit ve istismar etmek amacıyla kontrollü bir şekilde yapılan simüle edilmiş bir siber saldırıdır. Bu açıklar işletim sistemlerinde, servislerde , ağda veya uygulamalarda olabileceği gibi yanlış yapılandırma ve son kullanıcı hataları nedeniyle de oluşabilir . Sızma testi aynı zamanda savunma hattınızın etkinliği hususunda da size bilgi verir.
Açık Değerlendirmesi Ve Sızma Testi
Açık değerlendirilmesi ve sızma testi kurumun güvenlik durumu kapsamında sisteminizi kontrol etmekle alakalı olsa da ikisi farklı amaçla yapılır. Bu iki kavram genellikle karşılaştırılır . Açık değerlendirmesi ve sızma testinin karşılaştırılması yapılmıştır.
Sızma Testinin İcrası
Zafiyet(açık) yönetim süreci kapsamında , kurumunuza ait sistemlerdeki muhtemel açıkları tespit ettikten sonra kurumunuzun güvenlik durumunu tespit içim sızma testi icra etmeniz gerektiğini belirtmiştim. Bu kısımda sızma testinin icrasını ve bu kapsamda kullanılan araçları inceleyeceğiz.
Sızma Testi Kapsamı
Sızma testi birçok farklı şekilde hasara neden olabilceğinden , teste başlamadan testin kapsamını , çerçevesini belirlemek önem arz etmektedir. Tam olarak ne yapmaya ve ne yapmamaya izininiin olduğunu bilmeniz gerekmektedir. Aksi takdirde , önemli bir iş faaliyetini durdurabilir veya kurumun kritik veya hassa verisine zarar verebilirsiniz. Aynı şekilde , teste gerektiği kadar ileriye gitmemek de testin etkinliğini sınırlandıracak ve bazı önemli açıkları tespit edememenize neden olacaktır. Sızma testinizin kapsamını aşağıda sıralanan sorulara vereceğiniz cevaplar belirleyecektir.
Angajman Kuralları
Kapsam , sızma testinizin angajman kurallarının (Rules of Engagement-ROE) önemli bir parçasıdır. ROE sızma testinin nasıl icra edileceğini ve hangi kısıtlamaların olacağını belirler. Bu testi içre edecek kişi ya da kişilere icra sırasında uyacaklar kuralları sunar. Her defasında yönetimle görüşmek yerine bu kurallar baz alınarak sızma testi icra edilir.
Testi yapacak kişi/kişilerin ROE kapsamında yetki ve sorumluluklarını aşmaması önemlidir. Test ROE sözleşmesinde belirlenen cihaz ve tekniklerle yapılmalıdır, aksi takdirde yapılan testin geçersizliğin yanı sıra adli sorumluluklar da meydana gelebilir. Her kurum kendine göre ROE belirlese de, ROE içerisinde yer alacak genel bölümler aşağıda sıralandığı biçimdedir.
Giriş: Bu bölümde testin amacı, kapsamı , test esnasındaki varsa ilave kısıtlamalar ve testin içerdiği riskler belirtilir.
Lojistik: Bu bölümde testin kim tarafından ve nasıl yapılacağı belirtilir .Bu bölümde irtibat numaralarını ve testi icra edecek her bir şahsın rollerini görevlerini listelemelisiniz. Bu bölümde yarıca testin ne zaman , nerede yapılacağına ve test esnasında hangi araçların kullanacağını belirtmelisiniz.
Haberleşme:Bu bölümde haberleşmenin nasıl olacağı belirtilir. Belli olaylar hakkında kimin , ne zaman ve nasıl bilgilendireceğini belirtirsiniz. Test sırasında veya sonucunda herhangi bir olay meydana gelme ihtimaline karşı SOME ekibiyle haberleşme planını da burada belirlemelisiniz.
Hedefler: Her bir varlığın fonksiyonu , amacı , ağ adresi gibi özel bilgiler kapsayacak şekilde sızma testiyle hangi personel ve sistemlerin hedef olacağının açık bir şekilde belirtilmesi gerekir.
İcra: Bu bölümde , teknik ve teknik olmayan hususlar da kapsayacak şekilde icra etmeyi planladığınız her bir özel testin ayrıntılı açıklaması yer alır. Bu bölümde muhtemel yanlış anlamaları ortadan kaldıracak şekilde mümkün olan her türlü ayrıntıya inmeniz gerekir.
Raporlama: Bu bölümde hangi aralıklarla rapor verileceği hangi hususlara detaya inmeniz gerektiği belirtilir.
İmzalar: Yönetimin sızma testine müsaade ettiğini ve ROE kapsamında belirlenen kuralları kabul ettiğini belgeleyecek bir dokumana sahip olmanız gerekir. Üst Düzey Bilgi Güvenliği Yöneticisi (CISO) , Bilgi Sistemleri Bölüm Şefi (CIO) veya yetkili başka bir personel tarafından imzalı bir yetkilendirme dökümanınız olmalıdır.
Üçüncü Şahıslar Tarafından Yapılan Sızma Testleri
Zaman zaman sızma testlerini kendi kurumunuz içerisinde görevli personelden züyade üçüncü şahıslara yaptırmanız gerekebilir. Bazı saldırıların dışardan gelmesi ve tahmin edilemez oluşu düşünüldüğünde bu yöntem fayda sağlayabilir. Ancak ,üçüncü şahısların belirleyeceğiniz ROE kuralları çerçevesinde görevlerini yerine getirmesi sizin sorumluluğunuzdur. Üçüncü şahıs veya kurumlara sızma testlerini icra görevi verdiğinizde aşağıdaki soruları kendinize sorup gerekli cevapları almanız faydalı olacaktır.
Sızma Testi Çerçeve ve Safhaları
Bazıları özel sistemleri kapsayacak şekilde , sızma testlerinin icrasında rehberli edecek çerçeveler vardır. Communications- Electronics Securty Group (CESG) , Open Wrb Application Securty Project(OWASP) gibi kuruşlarbu konuda bazı çerçeceler belirlemişlerdir. Bununla birlikte , Açık Kaynak Güvenlik Test Metodolojisi Kılavuzu ( Open Source Securty Testing Methodology Manual-OSSTMM) sızma testi için de facto yaklaşımı ortaya koymuştur . OSTMM, kurumlarda test gerektiren her alanı listelemiş ve bu testlerin nasıl yapılacağını ayrıntılı bir şekilde açıklamıştır.
OSSTMe göre sızma testleri ; bilgi güvenliği , süreç güvenliği, internet teknolojileri güvenliği , iletişim güvenliği , kablosuz ağ güvenliği ve fiziksel güvenlik olmak üzere altı alanda yapılır. Ana test alanları aşağıda kısaca açıklanmıştır.
Bilgi Güvenliği Testleri
Bu bölümde sızma testi yapılacak olan işletme veya kurumun IT varlıkları detaylı olarak gözden geçirilip incelenir . Mevcut durumun değerlendirilmesi ,gizlilik , bütünlük ve erişebilirlik (CIA) durumu ve insan kaynaklarının ayrıntılı olarak incelenmesi bu kısımda yapılan çalışmalardan bazılarıdır.
Süreç Güvenliği Testleri
Bu bölümde işletme veya kurumun işleyişine etki eden süreçlerin güvenliği test edilir.
İnternet Güvenliği Testleri
Bu bölümde yapılan testleri aracılığıyla , ağ ve internet ortamları üzerinde aynı şekilde gizlilik, bütünlük ve erişebilirdik durumları test edilir. Ağ haritası çıkarılır , saldırı tespit ve önleme sistemleri (IDPS) gözden geçirilir, sistem servisleri tanımlanır , internet üzerinden hizmet veren uygulamalar test edilir.
İletişim Güvenliği Testleri
Haberleşme ortamlarının güvenliğinin sağlanmasıyla ilgili testler bu bölümde yapılır.
Kablosuz Ortam Testleri
Kablosuz olarak haberleşen cihazların güvenliği bu bölümde test edilir.
Fiziksel Güvenlik Testleri
Fiziksel testler güvenliğin sınanması için kapı giriş-çıkış sistemlerinin alarm- izleme sistemlerinin ve erişim kontrollerinin test edilmesi bu bölümde yapılan çalışmalarından bazılarıdır.
Facebook Twitter İnstagram
Son düzenleme:
.
