Sızma testi, bir kuruluşun güvenlik açıklarını belirlemek için sistematik olarak gerçekleştirilen bir çalışmadır.
Sızma testi, bir kuruluşun güvenlik açıklarını belirlemek için sistematik olarak gerçekleştirilen bir çalışmadır. Daha da açmak gerekirse bir saldırganın yararlanabileceği yerel ağ, internet ya da web uygulaması gibi muhtemel saldırı yüzeylerinde bulunabilecek güvenlik açıklarını veya bir yazılım uygulamasındaki zayıflıkları ve riskleri ortaya çıkaracak bir tür testtir. Tüm bunların genel amacı test edilen sistemin güvenlik açıklarını bulmaktır. Güvenlik açığı ise, kötücül kişinin hedef sisteme veya bu sistemin içindeki bir veriye yetkisiz erişme veya veriyi değiştirme gibi risklerinin bütünüdür. Tabi ki bu testi yalnızca güvenlik açıklarını bulmak ile bağdaştırmak tam anlamıyla doğru olmaz. Aynı zamanda bir ihlale karşı gerçekleşecek savunmanın nasıl ilerleyeceğini belirlemek için gerçek dünya saldırısı simüle edilir. Unutulmaması gereken nokta şudur ki, otomatik tarama araçları ile yapılan zafiyet taramalarına sızma testi demek son derece yanlıştır. Bu taramalar testin gerçekleştirilmesinde yalnızca bir basamaktır. Toparlamak gerekirse sızma testi, bir kuruluşun siber güvenlik açıklarının bulunması ve kuruluşların savunma mekanizmalarının kalitesinin etik olarak test edilmesinin kapsamlı bir yoludur.
Kuruluşlar güvenliklerine ne kadar dikkat ederlerse etsinler kötü niyetli bir saldırganın, hedef olarak gördüğü sisteme sızmak için kullanacağı tekniklerin sınırı yok denilecek kadar fazladır. Doğal olarak açıkların gözden kaçma olasılığı hep vardır. Bu yüzden kuruluşların güvenliklerini bu konularda yetkin bir sızma testi uzmanına test ettirmelerinde fayda vardır. Örneğin insanlar herhangi semptom hissetmemesine rağmen belli aralıklarla sağlık kontrolü yaptırarak uzman bir kişiden yardım alabilmektedir. Bunun sebebi ise kendinizi çok sağlıklı hissetseniz dahi daha önce hiç fark etmediğiniz bir tehlikenin varlığını tespit etmektir. Sızma testleri de bu yapılan düzenli sağlık kontrollerine benzetilebilir.
Temelde üç tür sızma testi vardır;
Kara kutu sızma testi (BlackBox): Test edilecek sisteme dair herhangi bir ön bilgi yoktur. Bu sızma testi türünde yalnızca hedef bellidir. Kötücül kişi bakış açısı ile saldırılar düzenlenir ve hedef sistem hakkında bilgi toplayarak olası bir saldırganın vereceği zararların tespit edilmesi sağlanır.
Gri Kutu Sızma Testi (GreyBox): Test edilecek sisteme dair birtakım bilgiler vardır. Kara kutu ve beyaz kutu arası bir testtir. İç ağda bulunup yetkisi düşük kullanıcıların yaratabileceği kötü etkiler simüle edilir.
Beyaz Kutu Sızma Testi (WhiteBox): Test edilecek sistemlere dair tüm bilgilere sahip olunur. Bu şekilde gelebilecek zararlar tespit edilir.
Bir sızma testini beş aşamaya ayırabiliriz.
1. Keşif
Bu aşama en uzun süren aşamadır. Genel anlamda test edilecek sistemler hakkında bilgiler toplanır, yapılacak teste dair kapsam ve hedef belirlenir. Uygulanacak test yöntemlerinin planlaması yapılır.
2. Tarama
Bir önceki aşamada bulunan bilgiler kullanılır. Bu bilgiler ile ağ taraması, açık port ve servis bilgilerinin tespitinin yapılabileceği taramalar yapılır. Sistemin güvenlik açıklarına bakılır.
3. Erişim
Bu aşamada bir takım zafiyetler kullanılarak normal kullanıcıların ulaşamadığı sistem kaynaklarına erişim sağlanmaya çalışılır. Bu saldırılara örnek olarak XSS ve SQL Injection gösterilebilir. Buradaki hedefler komut satırı ve veri tabanıdır.
4. Erişimin Devamlılığı
Bu aşamada erişim sağlanan sistemde kalıcı olmaya çalışılır. Bu noktada testi gerçekleştiren kişi bulunduğu noktadaki yetkisini yükseltmek için çabalar sarf etmektedir. Örneğin saldırılan sisteme giriş sağlayabilen bir kullanıcının giriş bilgilerini ele geçirmeye çalışabilir. Bu şekilde erişimin devamlılığı sağlanmış olur.
5. Analiz
Sızma testlerinin en önemli fazıdır. Bu aşamada yapılan tüm testler sonucunda testin gerçekleştirildiği kuruluşa bir sonuç raporu verilmektedir. Bu raporda bulunan bulgulara ayrıntılı şekilde yer verilir. Test sırasında bulunan tüm zafiyetlerin risklerini ve doğurabileceği sonuçlar hakkında bilgilendirme yapılır. Bu zafiyetlere dair iyileştirme ve çözüm önerileri sunulur.
Sızma testlerinde kullanılan birçok araç vardır. Bu araçlardan bazılarına örnek verecek olursak; Nmap, Netsparker, Burp Suite, Nessus, Sqlmap, Metasploit, Wireshark, hping3 gibi araçlar gösterilebilir.
Günümüzde bilgi, bireysel ve kurumsal açıdan çok önemli bir yere sahiptir. Bilginin korunması ise çok daha kritik bir konudur. Bilgiye bir şekilde izinsiz kişiler tarafından ulaşılması ve bu bilgilerin kötüye kullanılması sonucu, kurumun veya kişinin zarar görmesi olasıdır. Bu durumda bilginin güvenliğinin nasıl sağlanacağını öğrenmek son derece önemlidir. Bu konuda kuruluşların izleyebileceği yollardan biri de sızma testi yaptırmaktır. Sızma testi yaptırmanın bir kuruluşa birçok faydası vardı. Bu faydalara değinecek olursak;
• Bazı yasal zorunluluklara uyum gereksinimi sağlanır.
• Kuruluşun itibarının korunması ve güvenliğinin sağlanması.
• Gelebilecek saldırının meydana getirebileceği etkinin ve büyüklüğünün anlaşılması. Bu bağlamda önlemler alınması.
• İş sürekliliğinin korunması.
• Sistemleri koruyan uygulamaların (WAF,IPS, Firewall vb.) karşılık verebilme yeteneklerinin test edilmesi.
• Risklerin tespiti ve tespit sonrası BT kaynaklı risklerin azaltılması.
Örneğin, bir mağaza sahibisiniz fakat kasa güvenliğinizden emin olamıyorsunuz. Tecrübeli bir çilingirden sizin kontrolünüz altında bir hırsızmış gibi sizin kasanıza erişmesi için çabalamasını istediniz. Bu durumda çilingir başarılı olur ve kasanıza erişirse, bu kasanın güvenliği konusunda alabileceğiniz önlemleri öğrenebilirsiniz. Bu yüzden kurumlar sızma testleri yaptırarak güvenliğin tam anlamıyla sağlanabilmesi için önemli bir adım atmış olurlar.
Sızma testleri genel olarak güvenlik denetimlerinin teknik bilgi gerektiren bir parçasıdır. Bu güvenlik denetimlerinin zorunluluğunun yanı sıra kuruluşlar kendi isteğiyle de bu hizmeti alabilmektedir. Burada genelleme yapacak olursak kuruluşların güvenliği açısından bu hizmetin 1 yıl aralıklarla alınması birçok kuruluş için yeterli olan zaman aralığıdır. Fakat sistemler üzerinde yapılan değişiklikler sonrasında bu testlerin tekrarlanması önerilmektedir. Sızma testi hizmetimiz ile ilgili bilgi almak için tıklayınız.
Bilgi güvenliği ile ilgili zafiyet ve açıklıklarınızı önce siz keşfedin! Güvenlik tarama testi ve sızma testi hizmetlerimizden faydalanın.
Bilgi teknolojileri güvenliği ile ilgili yapısal, teknik, organizasyonel ve süreç kaynaklı tüm eksiklerinizi raporluyoruz.