KKTC Merkez Bankası Sızma Testi Genelgesi Kapsamında Sızma Testi

Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.
‍
‍İnternet: Bankanın internet üzerinden herkes tarafından erişebilen tüm sunucu ve servislerine sızma testi gerçekleştirilir.
‍
‍Banka İç Ağı: Bankanın dışarıdan erişilemeyen iç ağ üzerinden erişebildiğimiz sistemlerine iç ağa bağlanarak yapılan sızma testlerini kapsar. Bu testte çalışan kişilerin kurum içinde nasıl bir zarara yol açabileceği test edilmektedir.
‍
‍Şube Ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.

Sızma testinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testi gerçekleştirilir.

‍Anonim Kullanıcı Profili: İnternet üzerinden, bankanın web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Bankaya ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

‍Banka Müşterisi Profili: İnternet üzerinden, bankanın web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde bankaya web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

‍Banka Misafiri Profili: Bankayı ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Banka çalışanı profili: Banka personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. Banka çalışanı profili ile gerçekleştirilecek testlerde, banka çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testi gerçekleştirilir. Banka çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa banka tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir.

‍Diğer Kullanıcı Profilleri: Sızma testinin, yukarıda tanımlanan diğer kullanıcı profillerine uymayan bir kullanıcı profili ile gerçekleştirilir. Kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.

Temel sızma testi aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.

‍Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.

‍Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.

‍Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için, açıklık veri tabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından, etkileri araştırılır.

İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir konumdan, bankanın internet üzerinde sahip olduğu IP-Internet Protocol ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilir.

‍Banka iç ağından gerçekleştirilecek temel sızma testi: Bankanın iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
• Banka yerel ağ haritası tespiti
• Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi
• Yerel alan ağı içerisinde zafiyet taraması yapılması
• Banka yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
• Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi
• Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması
‍
‍Banka şube ağından gerçekleştirilecek temel sızma testi: Bankanın şube ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
• Şube yerel ağ haritasının tespiti
• Şube yerel alan ağında zafiyet taraması yapılması
• Şube yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
• Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi
• Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi
• Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi.

Temel sızma testinin tamamlanması sonrası, “Kapsam” bölümünde belirtilen başlıkların her biri için detaylı sızma testi gerçekleştirilir.KKTC Merkez Bankasının Resmi Gazetede yayınlamış olduğu ilgili tebliğe aşağıdaki bağlantı üzerinden de ulaşabilirsiniz;
http://www.kktcmerkezbankasi.org/sites/default/files/mevzuat/KKTCMB_S%C4%B1zma_Testleri_Genelgesi_1%200.pdf