Sızma Testi Nedir -1 ?

Sızma Testi Nedir -1 ?

Nedir ?

Sızma Testi,  herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir. Kişisel Verilerin Korunması Kanununa () Uyum sürecinde özellikle teknik tedbirler kısmında olmaz sa olmazlardan biri olan Sızma Testi, uluslararası standartlara göre uzman bir ekip tarafından yapılmaktadır. Aşağıda da ifade edildiği gibi, yapılacak sızma testinin uluslararası uygulama yöntemleri bulunmaktadır. Uygulama için çeşitli yazılımlar gerekmektedir. Adeta, bir hacker gibi davranarak, işletmenin bilişim sistemlerine saldırı senaryoları yapılarak, zayıf noktalarının tespit edilmesi ve ardından bu zaafiyetlerin giderilmesi işlemleridir denilebilir.

Sızma testi, bilgisayar ve ağ güvenliğini dışarıdan veya içeriden yapılan bir saldırı ile değerlendirme yöntemidir.

Sızma Testi Nedir -1 ? 1

Sızma Testi Kavramları

Kuruluş

Sızma testi yaptıran tüzel kişilik.

Sızma testi yapan tüzel kişilik.

Hizmeti aksatma testi (DOS)

Hedef sistemin kaynaklarının ya da bant genişliğinin meşgul edildiği saldırılardır.

Politika

tarafından resmi olarak genel niyetin ve yönün ifade edilmesi.

Üçüncü taraf

Söz konusu olan konu ile ilgili, taraf bakımından bağımsız olarak kabul edilen kişi ya da kuruluş. [ISO/IEC Guide 2:1996]

Tehdit

Bir sistem veya kuruluşta zarara neden olabilecek istenmeyen bir olayın potansiyel nedeni.

[ISO/IEC 13335-1:2004]

 Zayıflık

Bir veya birden fazlar tehdit tarafından istismar edilebilecek bir veya bir grup varlığın zayıf noktaları.

Sızma Testi AşamalarıSızma Testi Nedir -1 ? 2

Sızma Testi Nedir -1 ? 3

 

Sızma Testi Nedir -1 ? 4

Sızma testlerinin kuruluşlara yararları nelerdir?

  • Belirli bir saldırı vektör kümesinin olabilirliğinin belirlenmesi,
  • Belirli bir sıralamada kullanılan düşük riskli açıklıkların bir kombinasyonundan kaynaklanan yüksek riskli açıklıkların tespit edilmesi,
  • Otomatize ağ veya uygulama açıklık tarama yazılımları ile tespit edilmesi güç veya imkânsız olan açıklıkların tespit edilmesi,
  • Başarılı saldırıların, olası iş etkisi ve işletimsel etkilerinin büyüklüğünün anlaşılması ve değerlendirilmesi,
  • Ağ koruma cihazlarının ve uygulamalarının saldırıları başarı ile tespit etme ve karşılık verme kabiliyetlerini test etme,
  • Güvenlik personeli ve teknolojisine yönelik artan yatırımlara gerekçelendirme sağlanması

Sızma testi hangi aralıklar ile yapılmalıdır?

Sızma testleri genellikle tam güvenlik denetimlerinin bir parçası olmakla beraber (örneğin; PCI DSS standardı hem yıllık olarak hem de devamlı olarak (sistem değişikliklerinden sonra) sızma testi gerektirmektedir. Benzer şekilde, ISO/IEC 27001:2005 standardı kapsamı dâhilinde sızma testi yapılması gerekmektedir) tek başına da yapılabilir.

Sızma Testi Aşamaları nelerdir?

Sızma testlerinde aynı PUKO (planla, uygula, kontrol et gibi) Planla, Uygula ve Raporlama aşamaları vardır.

  1. Planlama
  2. Uygulama
  3. Raporlama

Sızma Testi Uygulama Yöntemleri

Sızma testi uygulayıcıları test işlemini gerçekleştirirken 3 farklı yöntem uygulanır. Bu yöntemler saldırı senaryolarında sızma testi uygulayıcılarının saldırı kapsamlarını gösterir.

Beyaz Kutu Yöntemi: Bu uygulama türünde sistem yöneticisinin sahip olduğu bilgilere sahip olarak güvenlik değerlendirmesi yapılır. Bilgi toplama aşaması geçilir ve zafiyet tarama işlemleri ile devam edilir.

Siyah Kutu Yöntemi: Bu yöntem türünde sistem hakkında herhangi bir olmaksızın dışarıdan yapılan güvenlik değerlendirmesidir. Gerçek saldırgan bakış açısı ile yapılır.

Gri Kutu Yöntemi: Bu yöntem türünde ağ içerisinde bulunan veya sistemdeki herhangi bir hizmeti kullanan çalışanların veya yüklenicilerin erişim yetkilerinin değerlendirildiği güvenlik testi yöntemidir.

 

Sızma Testi Türleri

Sızma Testi sürecinde iki yaklaşım ile saldırı senaryolarına yön verilir. Bunlar;

Birinci Yaklaşım

Aktif Saldırı: Sızma testinde sistemin genel güvenlik düzeyini , bütünlük ve erişilebilirlik çerçevesinde değerlendirmek ve bu sistemin güvenliğini tehlikeye atabilecek tüm olası sorunları tespit etmeye yönelik saldırı türüdür. Sistem veya ağ üzerinde değişiklik yapmak için yapılan saldırılardır.
Pasif Saldırı: Sızma testinde bilgi toplama ve sınıflandırma amacıyla gizli ve yıkıcı olmayan tekniklerin kullanıldığı saldırılardır.

İkinci Yaklaşım

İç Saldırılar: Organizasyonun güvenlik şemsiyesinin içinde yer alan kullanıcılar, sistemlerin oluşturduğu alana yapılan saldırılar.
Dış Saldırılar: İnternet veya uzaktan erişim gibi kurum dışı saldırılardır.

Sızma Testinde Uygulanan Standartlar

Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;

  1. OWASP (Open Web Application Security Project)
  2. OSSTMM (The Open Source Security Testing Methodology Manual)
  3. ISSAF (Information Systems Security Assessment Framework) NIST SP800-115
  4. PTES (Penetration Testing Execution Standart)
  5. Fedramp (The Federal Risk and Authorization Management Program)

 

OWASP (Open Web Application Security Project)

Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur. (.www.owasp.org/index.php/about_the_open_web_application_security_project, Erişim Tarihi: 17 Aralık 2018)

Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur.
2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.

11 ana başlık altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır.

Bunlar;
1. Bilgi toplama
2. Yapılandırma ve Dağıtım Yönetimi Testi
3. Yönetimi Testi
4. Kimlik
5. Yetkilendirme Testi
6. Oturum Yönetimi Testi
7. Giriş Doğrulama Testi
8. Hata Giderme Testi
9. Zayıf Kriptografi Testi
10. İş Mantığı Testi
11. İstemci Tarafı Testi

OSSTMM (The Open Source Security Testing Methodology Manual)

2001 yılının Ocak ayında ISECOM(Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır.

Anahtar bölümleri şu şekilde sıralanır.

  1. Operasyonel Güvenlik Metrikleri
  2. Güven Analizi
  3. İş akışı
  4. İnsan Güvenliği Testi
  5. Fiziksel Güvenlik Testi
  6. Kablosuz Güvenlik Testi
  7. Telekomünikasyon Güvenlik Testi
  8. Veri Ağları Güvenlik Testi
  9. Uyum Mevzuatı
  10. STAR (Güvenlik Testi Denetim Raporu) ile Raporlama

 

ISSAF(Information Systems Security Assessment Framework)

Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır . Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir.Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.

 

NIST SP800-115

Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115( Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunması ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilir.

Beş ana başlıktan oluşur. Bunlar;

  1. Hedef Tanımlama ve Analiz Teknikleri
  2. Hedef Güvenlik Açığı Doğrulama Teknikleri
  3. Güvenlik Değerlendirme Planlaması
  4. Güvenlik Değerlendirme Faaliyetleri
  5. Test Sonrası Faaliyetler

 

PTES (Penetration Testing Execution Standart)

Açık kaynak bir proje olan Sızma Testi Yürütme Standardı 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır.

Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:

  1. Ön Sözleşme
  2. İstihbarat toplama
  3. Tehdit Modellemesi
  4. Güvenlik Açığı Analizi
  5. İstismar Süreci
  6. İleri Sömürü Aşaması
  7. Raporlama

Örnek olarak, FedRamp Penetrasyon Test Rehberi aşamaları ve ana bölümleri aşağıda verilmiştir.

FedRAMP (The Federal Risk and Authorization Management Program)

Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), Federal Bilgi Güvenliği Yönetimi Yasası’nın (FISMA) bulut bilişim hizmetlerine nasıl uygulandığını standartlaştırmak için oluşturulan ABD hükümet programıdır. İlk versiyonu 2015’te yayınlanan “FedRAMP PENETRATION TEST GUIDANCE” 2017 yılında ikinci versiyonunu yayınlamıştır. Fedramp ile bulut tabanlı hizmetlerin güvenlik değerlendirilmesi ve sürekli izlenmesi için standartlaştırılmış̧ bir yaklaşım sunar. Bu rehber kuruluşlara, Sızma Testi’nin planlanması ve yürütülmesi ile ilgili bulguların analiz edilmesi ve raporlanması konusunda rehberlik sağlamaktır.

FedRAMP hakkında daha detaylı bilgi için: https://www.fedramp.gov/

Ana bölümleri şunlardır:

1.Bilgi Toplama ve Keşif Aşaması

2.Web Uygulama ve Api Test Bilgisi Toplama ve Keşif Aşaması

3.Mobil Uygulama Bilgi Toplama ve Keşif Aşaması

4. Ağ Bilgi Toplama ve Keşif Aşaması

5. Sosyal Mühendislik Bilgi Toplama ve Keşif Aşaması

6.İç Ağ Bilgi Toplama ve Keşif Aşaması

7. İstismar Aşaması

8. İleri Sömürü Aşaması

9. Raporlama

 

Türk Standartları enstitüsü’nün (TSE) Sızma Testi Hizmeti Veren Personel Ve Firmalar İçin Yetkilendirme Programı

Programı buradan indirebilirsiniz.