Penetration / Penetration Testing

Sızma / Penetrasyon Testi

Penetrasyon Testi (pentest nedir?)
Penetration Testing (what is pentest?)

What is Penetration Testing?

Sızma testi, penetration test veya penetration test; test edilen sistemlerdeki bilgisayarlar, sunucular, güvenlik duvarları, ağ sistemleri ve uygulamaların siber güvenlik etkinliklerini değerlendirmek için yetkilendirilen etik hackerlar tarafından yapılan bir saldırı türüdür.

Sızma testi, ilgili sistemdeki güvenlik açıklarını değerlendirmek ve testten sonra güvenlik açıklarını ortadan kaldırmak için bir sistemde izin verilen bir saldırı simülasyonu gerçekleştirmek olarak da bilinir. Dijital ortamda tutulan kişisel verilerin siber saldırı sonucu sızmasını önlemek için kurum içerisinde sızma testi yaptırmak, siber güvenlik açıklarınızı tespit etmek ve kapatmak için önemlidir.
Bunun yanında Kişisel Verilerin Korunması Kurumu tarafından yayınlanan teknik tedbirler rehberinde sızma testine yer verilmiştir.

Sızma Testi Nedir?

Sızma Testi, (Penetrasyon Testi) ile kurumunuzdaki bilişim altyapısının güvenlik açıkları, tasarım zayıflıkları ve risklerin tespit edilmesine yönelik gerçekleştirilen test sonrasında gerekli aksiyonlar alınarak zafiyetlerin giderilmesi ve risk iyileştirme çalışmalarını yürütüyoruz. Böylece kurumun tüm bilgi kaynakları güvenceye alınmakta ve veri güvenliği sağlanmaktadır.

Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen fakat farklı kavramlardır. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının çeşitli yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç sadece güvenlik açıklıklarını belirlemek değil, bu açıklıklar kullanılarak hedef sistemler üzerinde gerçekleştirilebilecek ek işlemlerin (sisteme sızma, veritabanı bilgilerine erişme gibi) belirlenmesidir.

Güvenlik Testleri Neden Gerekli?

  • Regülatif Zorunluluklar: KVKK, ISO27001, TSE-Güven Damgası gibi sertifikasyonlara sahipseniz ya da edinmek istiyorsanız, bilişim sistemlerinizi yetkili bir kurum tarafından düzenli olarak denetletmeli ve raporlamalısınız.
  • Veri ve İtibar Kaybı Riski: Bilişim sistemlerinize yapılacak herhangi bir saldırıda hassas verilerinizi kaybedebilir, marka itibarınız da zarar görebilir. Bu nedenle hassas verilerinizin güvende olduğundan her zaman emin olmalısınız.
  • İş Sürekliliği: Bilişim altyapısı bir kurumun can damarıdır ve kontrol altında olmaması iş akışlarını durma noktasına getirebilir. Bu nedenle bilişim altyapınıza yapılacak saldırılara önceden hazırlıklı olmalısınız.

Penetrasyon (Sızma) Testi Çeşitleri ve Siber Güvenlik Danışmanlığı

  • Web Uygulama (Web Application / Web Güvenliği) Pentest Hizmeti: Firmanın internete açık olan servisleri (Mail, DNS, Web, FTP gibi) üzerinden web güvenliği için pentest yapılarak sızma işlemleri gerçekleştirilir.
  • Yerel Ağ (Network) Pentest Hizmeti: Kurumun yerel ağı üzerinden yapılmaktadır. Yerel ağda bağlı herhangi bir istemcinin güvenlik açısından ne riskler getirebileceğini gösterme amaçlı olarak gerçekleştirilmektedir. Uzmanlarımız yerel ağınız üzerinde yapmış oldukları lokal testlerle zaafiyetlerinizi ve varlıklarınızın yapılandırma hatalarını ortaya çıkartmaktadır.
  • Mobile Pentest Service: Android ve iOS işletim sistemi için geliştirilmiş mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içermektedir. Gerekli durumlarda kaynak kod denetimi de yapılarak uygulamalarınızın güvenliği denetlenir ve zafiyetler raporlanır.
  • Cloud Pentest Service: Kurumunuzun bulut (cloud) sunucuları üzerindeki zafiyetler için yapılan güvenlik testleridir. Bu testlerde sunucularınız üzerindeki yapılandırma hatalarından güvenlik cihazlarınızın başarım oranlarına kadar birçok noktada sızma girişimleri bulunularak rapor hazırlanır.
  • Source Code Analysis Service: Kaynak kod analizi yapılarak kurumunuz, bayileriniz, iş ortaklarınız veya kullanıcılarınız için üretmiş olduğunuz tüm uygulamalar test edilmektedir. Bu uygulamaların kaynak kodları incelenmekte ve barındırmış olduğu zafiyetler tespit edilerek siber saldırılara karşı önlem almanız sağlanır.
  • DDoS Pentest Service: Kuruma ait olan tüm internet sistemi detaylı analiz edilerek sisteme servis dışı bırakma saldırıları (DDOS) gerçekleştirilmektedir.
  • Kablosuz Ağ (Wireless) Pentest Hizmeti: Firmanın iç ağlarında yönettiği kablosuz ağ altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara veya kötü niyetli kişilerin saldırılarına karşı sızma testlerinin yapılması ve raporlama hizmetini içermektedir.
  • Voip Altyapısı Pentest Hizmeti: Firmanın kullandığı VOIP sisteminin detaylı analizi yapılarak voip sistemi üzerinden işlenebilecek sahtekarlıkların ve zafiyetlerin test edilmesi amaçlanmaktadır.
  • Sosyal Mühendislik/Phishing, Son Kullanıcı Güvenlik Testleri: Firma çalışanlarına ait e-posta hesaplarının internet üzerinden elde edilerek sosyal mühendislik saldırılarının gerçekleştirilmektedir. Yapılan sızma testinde internet üzerinden firma yerel ağına giriş denemeleri, APT ve benzeri saldırı teknikleri uygulanmaktadır. Aynı zamanda bu testler sonucunda çalışanlarınızın bilgi güvenliği farkındalığı ortaya çıkartılarak en zayıf halkaların tespiti amaçlanmaktadır.

BDDK Sızma Testi, en az aşağıdaki başlıkları içermektedir:

  • İletişim Altyapısı ve Aktif Cihazlar
  • DNS Services
  • Etki Alanı ve Kullanıcı Bilgisayarları
  • Email Services
  • Veritabanı Sistemleri
  • Web Uygulamaları
  • Mobile Applications
  • Kablosuz Ağ Sistemleri
  • ATM Systems
  • Dağıtık Servis Dışı Bırakma Testleri
  • Code Analysis
  • Sosyal Mühendislik
  • İç Penetrasyon Testi (Intranet Security Checkup)

Sosyal mühendislik, ağ güvenliği, ddos testleri, internet üzerinden uygulama testleri vb birçok alanda bilgi teknolojilerine uzmanları tarafından testlerin yapılması, güvenlik açıklıklarının tespit edilmesinde en genel geçer korunma ve açıklık analizi yapma araçlarından birisidir. Özellikle iç sistemler üzerinden derinlemesi tarama ile açıklığa apaçık maruz kalabilecek hassas sistemlerin siber saldırılarına karşı bilgi güvenliği durumunun net fotoğrafı çekilebilir. ancak burada unutulmaması gereken 2 önemli unsur bulunmaktadır. Birinci unsur testleri kurumların ihtiyacına yönelik olmasıdır. İkinci unsur ise güvenlik uzmanlarının yapılacak testler için en uygun şekilde seçilmesi, firmadan çok sızma testlerini yapacak ekibin kalitesinin değerlendirilmesi yerinde olacaktır.

Güvenliği iyi bir hale getirmek için yapılan penetrasyon testleri sadece işin ilk boyutdur. Ancak bundan sonraki aşamanın daha zorlu olacağı unutulmamalıdır. Güvenlik testleri sonucu tespit edilen açıklıkların kapatılması da bir o kadar önemlidir. Çünkü güvenlik testleri sadece güvenlik açıklarının bilinmesini sağlar ancak bu durumun kapandığı anlamına gelmez.
Dilerseniz biraz sızma testlerinin detaylarını inceleyelim. Bazı durumda testler, 3 aşamalı test şeklinde olabilmektedir. Black box, gray box veya white box testler olarak adlandırılan bu aşamalı testler güvenlik uzmanına sağlanan bilgilerin miktarına göre değişen testlerdir. Örneğin bilgi güvenliği testlerinde hiç bir bilgi verilmeden yapılan testlere black box, bütün bilgilerin (şifreler vd bilgiler) sağlanmasıyla yapılan testlere ise white box testleri denir. Renginden de anlaşılacağı gibi gray box testler, sağlanan bilginin ne tam ne de eksik olduğu durumlarda yapılan testlere denir.

Bilinmesi gereken bir diğer konu da yapılan testleri sürekliliğidir. Değişen şartlar, eklenen yeni durumlar, yapılan bazı hatalar veya geçen zamanlar bir sistemi tekrar zafiyetli bir duruma getirebilir. Bu yüzden belli dönemlerde bu testlerin tekrarlanması ve sürekliliğin sağlanması gerekmektedir. Uzmanlar ve bu konuda yayınlanmış yayınlar yılda en az bir kez bu testlerin dış kaynaklı olarak yapılmasını ve işletmenin dışında bir gözün durumu gözlemlenmesini önermektedir.

Sızma testleri dışarıdan alınan bir güvenlik çözümü veya fiziksel bir koruma sistemi değildir. Dolayısıyla alınan hizmetin ölçümünü yapmak bulunan zafiyetin sayısına bakarak yapamazsınız. Bu yüzden alınan hizmetin detaylı raporunun sunulması ve gerekirse bir son oturum toplantısı ile yapılan çalışmanın detayları sorgulanmalı ve incelenmelidir. Bir diğer husus dış pentest hizmetinin sürekli aynı firmayla veya aynı uzman ile yapılmamasıdır. Sefer geçtikçe amaçlarından biri olan dış göz olgusu kaybolmaktadır. Bunu engellemek için iki senede bir firma değişikliği yapılması gerekmektedir/önerilmektedir.

Ülkemizde son yıllarda zorunlu hale getirilen ISO 27001 bilgi güvenliği standardı ve 6698 sayılı kişisel verilerin korunması kanunu (kısaca KVKK) güvenlik testlerini zorunlu kılmaktadır.