Sızma Testi Nedir?
Kısaca PenTest olarak bilinen Sızma Testi ya da Penetrasyon Testi temel olarak bir bilişim sisteminin tüm yapıtaşlarının olası siber saldırılara karşı, taranması, analiz edilmesi, sızılması ve sıkılaştırmasını kapsayan ileri mühendislik isteyen özel bir test sürecidir.
Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan sızma testinin uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Sızma Testi Neden Önemlidir?
PenTest’in nihai amacı, bir saldırgan gözüyle sistem altyapınızın ne kadar güvende olduğunu ortaya koymak ve açıklık bulunan noktaları kapatmaktır. Bir kuruluşun güvenlik duruşundaki zayıf noktaları tespit etmenin yanı sıra, güvenlik politikasının uygunluğunu ölçmek, personelin güvenlik sorunları konusundaki farkındalığını test etmek ve kuruluşun siber güvenlik prensiplerini uygulama derecesini belirlemektir. Unutulmaması gereken en temel husus, tüm sistemlerin saldırıya karşı hassas olduğudur.
Hiçbir sistem 100% güvende değildir. Bu nedenlerden dolayı kuruluşların sistemlerini düzenli olarak PenTest yaptırması ve işletim sistemi ile uygulamalara zamanında güvenlik yamalarını geçmesi çok önemlidir. Penetrasyon Testleri temel de üç aşamaya ayrılır:
Siyah Kutu: Bu yöntemde pentest gerçekleştirilecek kurumdan herhangi bir bilgi talebinde bulunulmaz, yapılan çalışmalar ile tamamı ile manuel gerçekleştirilen yöntemler sayesinde kurumun internete açık olan veya olmayan ara yüzlerinden sisteme sızılması çalışması gerçekleştirilir. Bu sayede kurumun dışarıdan alabileceği tehditlerin genel analizi ve vektörleri çıkarışmış olur.
Siyah Kutu yöntemi, dışarıdan gelen gerçek bir saldırı senaryosuna en yakın test yöntemidir. En büyük amaç hedef sistemde veri tabanına sızmaktır.
Gri Kutu: Gerçekleştirilen bu test sayesinde kurumun içerisinde herhangi bir misafir gibi gelinerek sistemin boşluklarından faydalanıp sistemin tehlike yüzeyi analiz edilir. Bu sayede saldırganın kurumun içerisinden mevcut sisteme geçişi, veri tabanlarına erişimi, uygulamalar üzerinden ki hâkimiyetine kadar pek çok süreç bu test sayesinde ele alınır.
Gri Kutu yöntemi, fiziksel olarak kurum içine girebilen bir hacker tarafından yapılacak saldırının ne oranda başarılı olabileceğini ortaya koyar. En büyük amaç sınırlı bir yetkiyle dahi olsa tüm sistemi ele geçirmektir.
Beyaz Kutu: Güvenlik uzmanı, bu test ile birlikte testin yapıldığı kurumdan standart bir kullanıcıya ait bir tanımlama ister bu sayede uzman standart bir kullanıcı olarak sistem üzerinde haklarını artırıp artırmadığı, veri tabanlarına ve diğer tüm bilişim alt yapısı üzerinde ki hâkimiyeti kontrol edilir. Bu testler esnasında çeşitli araçlar kullanıldığı gibi sistemin saldırganı yakalamaması için gerekli tekniklerinde içinde bulunduğu özel manuel yöntemler kullanılır.
Beyaz Kutu yöntemi, kuruma içten gelecek bir saldırının ne oranda etkili olabileceğini ortaya koyar.
Sızma Testi Aşamaları
Penetrasyon Testi, belli bir sistematik yaklaşım ile icra edilen bir süreçtir.
1. Pasif Bilgi Toplama (İz Sürme):
Ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere, testin kapsamını ve hedefler tanımlanır. Bu aşama, hedef sistem altyapısı ve kapsamı dâhilindeki etki alanı adları, ağ blokları, yönlendiriciler, IP adresleri gibi bilgiler ile çalışan bilgileri, telefon numaraları gibi saldırının başarısına katkı sağlayacak her türlü ayrıntı hakkında bilgi sahibi olunmasını sağlayan adımdır.
Açık kaynaklardan toplanan bu bilgiler birçok defa şaşırtıcı derecede kritik bilgileri içerebilmektedir. Bu maksatla başta hedef kurumun web sitesi ve sosyal medya platformları olmak üzere birçok kaynaktan istifade edilmektedir.
2. Aktif Bilgi Toplama ve Tarama:
Tespit edilen IP aralığı içinden hangi aktif ve pasif cihazların canlı olduğu tespit edilen bu aşamada, birinci aşamada elde edilen bilgilerin de yardımıyla önceliklendirme yapmak mümkündür. Bu aşamada, tespit edilmiş olan canlı sistemlerde çalışan işletim sistemi, açık portlar ve servisler ile bunların sürüm bilgilerini elde etmek önemlidir. Ayrıca dinlenebiliyorsa ağ trafiği de takip edilerek sistem altyapısı hakkında mümkün oldukça kritik bilgi toplanmaya çalışılır.
3. Döküm Çıkarma:
Hedef uygulamanın çeşitli izinsiz giriş denemelerine nasıl cevap vereceğini anladıktan sonra bu adımda, canlı olduğu tespit edilen sistemlerle aktif bağlantılar kurulur ve doğrudan sorgulamalar yapılır. Diğer bir ifadeyle bu aşama; ftp, netcat, telnet gibi servislerin etkin olarak kullanıldığı ve hedef sistemlerle etkileşime geçildiği aşamadır.
4. Sistemi Ele Geçirme:
Daha önceki aşamalarda elde edilen tüm bilgilerin tek bir amacı vardır. Hedef sisteme yetkisiz giriş sağlamak, veri tabanını okumak ya da ulaşılmaması gereken bilgilere erişmek.
Bu aşama; hedef sistem üzerinde çalışan işletim sistemi, açık olan portlar ve bu portlarda hizmet veren servisler ile bunların sürümleri ışığında uygulanabilecek sömürü yöntemlerinin denendiği ve içeriye sızılmaya çalışıldığı adımdır.
Özellikle web tabanlı portal ve uygulamalar hem dışa bakan pencere olmaları, hem çok fazla saldırı vektörü barındırabilme özelliklerinden dolayı özel bir konuma sahiptirler. Sistemi ele geçirme aşamasında mevcut sömürü yöntemlerini sisteme zarar vermeden, iz bırakmadan, başarılı ve esnek bir şekilde kullanabilmek ciddi bir uzmanlık ve deneyim gerektirmektedir. PenTest’in bu aşaması bu nedenle en önemli ve kritik adımdır.
5. Yetki Yükseltme:
Bir sistem, sistemin en zayıf halkası kadar güçlüdür. Bir şekilde başarılan sistem erişimi genelde ilk adımda düşük bir yetki ile gerçekleşmektedir. PenTest uzmanı, bu aşamada, bulunduğu işletim sistemi ya da ortamdaki zafiyetlerden istifadeyle yetkisini yönetici seviyesine çıkarmayı, ardından, kazandığı bu ek yetkiler ile birlikte ağ ortamında bulunan diğer cihazları ve nihayetinde Etki Alanı Yöneticisi ya da Veri Tabanı Yöneticisi gibi en üst düzey kullanıcı yetkilerini ele geçirmeyi hedefler.
Sızma Testi ve Sonrası
Penetrasyon testi neticesinde firmamız tarafından hedef sistemlerde tespit edilen güvenlik açıklıkları ve bu zafiyetlerin nasıl istismar edildiği örnek ekran çıktılarıyla birlikte sunulan “Sızma Testi Sonuç Raporu”nda yer alır. Sonuç raporunda ayrıca her bir açıklığın nasıl kapatılacağına dair çözüm önerisi de yer almaktadır.
Bir siber güvenlik firması olarak; yapmakta olduğumuz sızma testlerinin hassasiyeti, bağımsızlığı ve sıhhati açısından özellikle ürün satmıyoruz. Ancak talep edilirse sistemlerin daha güvenli olmasına yönelik güvenli ağ mimarisi tasarımı ve sıkılaştırma danışmanlığı hizmetini ayrıca vermekteyiz.