Zafiyet Analizi nedir?
Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.
Sızma Testi nedir?
Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Sızma Testi bu sorulara cevap bulunmasına yardımcı olur.
Sızma Testi çeşitleri nelerdir?
Aktif olarak gerçekleştirilen üç çeşit Sızma Testi vardır. Bunlar hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Belirtilen unsurlara bağlı kalarak firmaya/kuruma uygulanacak Sızma Testi farklılık göstermekte ve her biri farklı sorunların çözümüne yöneliktir.
Internal Penetration Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar.
External Penetration Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.
Web Application Penetration Test: 'External Penetration Test' ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.
Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.
Sızma Testi nedir?
Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Sızma Testi bu sorulara cevap bulunmasına yardımcı olur.
Sızma Testi çeşitleri nelerdir?
Aktif olarak gerçekleştirilen üç çeşit Sızma Testi vardır. Bunlar hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Belirtilen unsurlara bağlı kalarak firmaya/kuruma uygulanacak Sızma Testi farklılık göstermekte ve her biri farklı sorunların çözümüne yöneliktir.
Internal Penetration Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar.
External Penetration Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.
Web Application Penetration Test: 'External Penetration Test' ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.
Sızma Testi yöntemleri nelerdir?
Blackbox: Bilgi Güvenliği Uzmanı'na testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox & Crystalbox: Bilgi Güvenliği Uzmanı'na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox: 'Whitebox & Crystalbox' ile 'Blackbox' arasında olan bir Sızma Testi yöntemidir. Bilgi Güvenliği Uzmanı'na yapı ve/veya sistemler hakkında 'detaylı' bilgi verilmez.
(*) 'Whitebox & Crystalbox' ve 'Graybox' yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. 'Blackbox' yöntemi, "saldırgan gözüyle sistemlere 'sızılmaya' çalışılması" olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, 'Whitebox & Crystalbox' ve 'Graybox' daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.
Blackbox: Bilgi Güvenliği Uzmanı'na testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox & Crystalbox: Bilgi Güvenliği Uzmanı'na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox: 'Whitebox & Crystalbox' ile 'Blackbox' arasında olan bir Sızma Testi yöntemidir. Bilgi Güvenliği Uzmanı'na yapı ve/veya sistemler hakkında 'detaylı' bilgi verilmez.
(*) 'Whitebox & Crystalbox' ve 'Graybox' yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. 'Blackbox' yöntemi, "saldırgan gözüyle sistemlere 'sızılmaya' çalışılması" olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, 'Whitebox & Crystalbox' ve 'Graybox' daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.
NATEK nasıl yapar?
Adım:
Bilgi Toplama:
Bu adımda; sistem üzerinde aktif bir tarama gerçekleştirilmez, sadece bilgi toplanır. Uygulama platformu, uygulama programlama dili, uygulama versiyonu, dahili/harici bağlantılar, sunucu platformu, işletim sistemi vb. bilgiler bu adımda tespit edilir.
Adım:
Tarama ve Sınıflandırma:
Bu adımda; 'I. Adım'da toplanan bilgiler ışığında, hedef sistem üzerinde 'tarama' işlemi gerçekleştirilerek ve/veya sisteme yapılacak ufak etki-tepkilerle bilgi edinilir.
Adım:
Erişim Elde Etme:
Bu adımda; 'II. Adım'da edinilen bilgiler ışığında, hedef sistem üzerinde tespit edilen zafiyetler(l)e erişim elde edilmeye çalışılır.
Adım:
Erişimi Yönetme:
Bu adımda; 'III. Adım'da hedef sistem üzerindeki zafiyetler sayesinde elde edilen erişim hakları yönetilir (örneğin, sistem üzerinde elde edilen erişim haklarını kalıcı kılmak ve/veya sistem üzerinde yetkili bir kullanıcı oluşturmak).
Adım:
İz Gizleme:
Bu adımda; hedef sistem üzerinde ilk dört adımda yapılan işlemlerin bıraktığı izler ('log' kaydı gibi) temizlenir veya kirletilir. (APT/Advanced Persistent Threat)
NATEK, bu testleri gerçekleştirirken uluslararası standartları göz önünde bulundurarak yukarıdaki adımları takip eder ve 'standart' Sızma Testlerinden farklı olarak 'özelleştirilmiş' bir yapı kullanılır. Bu 'özelleştirilmiş' yapı aşağıda belirtilen parametreleri içermektedir.
NATEK, 'Bilgi Toplama' ve 'Tarama ve Sınıflandırma' adımlarında uluslararası kabul görmüş araçların (commercial & Open-Source) yanı sıra NATEK bünyesinde görev alan Güvenlik Araştırmacıları tarafından kodlanan araçlar (notHack Analysis & Scanning Tools) ve 'exploit'ler (notHack Exploit Research & Development, DB) kullanır (yazılan exploitler Güvenlik Araştırmacıları tarafından Sızma Testi öncesinde ve/veya sırasında kodlanabilir. Yazılan her 'exploit', öncelikle 'notHack Pentest Lab' üzerinde denenmektedir).
NATEK, Sızma Testi sonucunda ayrıntılı bir rapor hazırlar. Bu rapor, 'Teknik Rapor', 'Yönetici Raporu' ve 'Bulgu Detayı' gibi ayrı parametreler içerir. 'Bulunan zafiyetin ayrıntılı açıklaması', 'zafiyetin bulgusu (ekran görüntüsü ve/veya çıktı)' ve 'zafiyetin çözümü' başlıklarına 'tamamen' özelleştirilmiş cevaplar verilir. Zafiyet önce tespit edildiği hedef sistemin benzerinin oluşturulduğu 'notHack Pentest Lab' ortamında kapatılır (sıkılaştırma çalışmaları), ardından 'zafiyetin çözümü' yönergelerle birlikte ayrıntılı bir şekilde yazılır.
Adım:
Bilgi Toplama:
Bu adımda; sistem üzerinde aktif bir tarama gerçekleştirilmez, sadece bilgi toplanır. Uygulama platformu, uygulama programlama dili, uygulama versiyonu, dahili/harici bağlantılar, sunucu platformu, işletim sistemi vb. bilgiler bu adımda tespit edilir.
Adım:
Tarama ve Sınıflandırma:
Bu adımda; 'I. Adım'da toplanan bilgiler ışığında, hedef sistem üzerinde 'tarama' işlemi gerçekleştirilerek ve/veya sisteme yapılacak ufak etki-tepkilerle bilgi edinilir.
Adım:
Erişim Elde Etme:
Bu adımda; 'II. Adım'da edinilen bilgiler ışığında, hedef sistem üzerinde tespit edilen zafiyetler(l)e erişim elde edilmeye çalışılır.
Adım:
Erişimi Yönetme:
Bu adımda; 'III. Adım'da hedef sistem üzerindeki zafiyetler sayesinde elde edilen erişim hakları yönetilir (örneğin, sistem üzerinde elde edilen erişim haklarını kalıcı kılmak ve/veya sistem üzerinde yetkili bir kullanıcı oluşturmak).
Adım:
İz Gizleme:
Bu adımda; hedef sistem üzerinde ilk dört adımda yapılan işlemlerin bıraktığı izler ('log' kaydı gibi) temizlenir veya kirletilir. (APT/Advanced Persistent Threat)
NATEK, bu testleri gerçekleştirirken uluslararası standartları göz önünde bulundurarak yukarıdaki adımları takip eder ve 'standart' Sızma Testlerinden farklı olarak 'özelleştirilmiş' bir yapı kullanılır. Bu 'özelleştirilmiş' yapı aşağıda belirtilen parametreleri içermektedir.
NATEK, 'Bilgi Toplama' ve 'Tarama ve Sınıflandırma' adımlarında uluslararası kabul görmüş araçların (commercial & Open-Source) yanı sıra NATEK bünyesinde görev alan Güvenlik Araştırmacıları tarafından kodlanan araçlar (notHack Analysis & Scanning Tools) ve 'exploit'ler (notHack Exploit Research & Development, DB) kullanır (yazılan exploitler Güvenlik Araştırmacıları tarafından Sızma Testi öncesinde ve/veya sırasında kodlanabilir. Yazılan her 'exploit', öncelikle 'notHack Pentest Lab' üzerinde denenmektedir).
NATEK, Sızma Testi sonucunda ayrıntılı bir rapor hazırlar. Bu rapor, 'Teknik Rapor', 'Yönetici Raporu' ve 'Bulgu Detayı' gibi ayrı parametreler içerir. 'Bulunan zafiyetin ayrıntılı açıklaması', 'zafiyetin bulgusu (ekran görüntüsü ve/veya çıktı)' ve 'zafiyetin çözümü' başlıklarına 'tamamen' özelleştirilmiş cevaplar verilir. Zafiyet önce tespit edildiği hedef sistemin benzerinin oluşturulduğu 'notHack Pentest Lab' ortamında kapatılır (sıkılaştırma çalışmaları), ardından 'zafiyetin çözümü' yönergelerle birlikte ayrıntılı bir şekilde yazılır.
Buradaki yazılan yazılar tamamen alıntı yapılmış ve eğitim amaçlıdır.
Son düzenleme:
