Sızma testi nedir ve nasıl yapılır?

Eskiden bir şirketi hacklemek çok zaman ve beceri gerektiriyordu. Ancak günümüzdeki teknolojik gelişmeler ile, kötü aktörlerin bir organizasyonun en savunmasız noktalarını bulmasını her zamankinden daha kolay. Sızma testinin amacı, işletmelerin bir saldırıyla en çok nerede karşılaşacaklarını bulmalarına yardımcı olmak ve bilgisayar korsanları tarafından istismar edilmeden önce bu zayıflıkları ortadan kaldırmaktır.  

Sızma Testi Nedir?

Sızma testi (veya penetrasyon testi), siber güvenlik uzmanının ve uzmanlarının bir bilgisayar sistemindeki güvenlik açıklarını bulmaya ve bunlardan yararlanmaya çalıştığı bir güvenlik alıştırmasıdır. Sızma testi simüle edilmiş saldırının amacını ve bir sistemin savunmasında saldırganların yararlanabileceği zayıf noktaları belirler.

Bu durumu, bir sızma testi uzmanının hırsız kılığına girmesi ve bankadaki kasaya erişmeye çalışması gibi düşünebiliriz. ‘Hırsız’ başarılı olur ve bankaya veya kasaya girerse, banka güvenlik önlemlerini nasıl sıkılaştırmaları gerektiğine dair değerli bilgiler edinmiş olur.

Sızma testi neden önemlidir?

Her hafta yeni siber güvenlik açıkları belirlenir ve suçlular tarafından istismar edilir. Bunları belirlemek ve düzeltmek, kuruluşunuzun güvenlik duruşu için çok önemlidir.

Yalnızca eğitimli bir güvenlik uzmanı tarafından gerçekleştirilen bir sızma testi, karşılaştığınız güvenlik sorunlarını doğru bir şekilde anlamanızı sağlayabilir.

Kendinizi korumak için düzenli olarak sızma testleri gerçekleştirmelisiniz:

  • Bunları çözebilmeniz veya uygun kontrolleri uygulayabilmeniz için güvenlik kusurlarını belirleyin;
  • Mevcut güvenlik kontrollerinizin etkili olduğundan emin olun;
  • Hatalar için yeni yazılımları ve sistemleri test edin;
  • Mevcut yazılımdaki yeni hataları keşfedin;
  • Kuruluşunuzun GDPR (Genel Veri Koruma Yönetmeliği) ve diğer ilgili gizlilik yasaları veya yönetmeliklerine uyumluluğunu destekleyin;
  • PCI DSS ( Payment Card Industry Data Security Standard)
  • Müşterilere ve diğer paydaşlara, verilerinin korunduğuna dair güvence verin.

Sızma testlerini kim yapar?

Sistemin nasıl güvenli hale getirildiği konusunda önceden bilgisi olmayan veya çok az bilgisi olan biri tarafından sızma testi yaptırmak en iyisidir. Sistemi oluşturan geliştiriciler tarafından gözden kaçırılan kör noktalar kolayca ortaya çıkarılabilir. Bu nedenle, testleri gerçekleştirmek için genellikle dışarıdan destek alınır. Sızma testi uzmanları genellikle ‘etik bilgisayar korsanları’ olarak anılırlar, çünkü bir sisteme izinli olarak girmek ve güvenliği artırmak amacıyla işe alınırlar.

Birçok etik bilgisayar korsanı, ileri derecelere ve sızma testi sertifikasına sahip deneyimli geliştiricilerdir. Öte yandan, en iyi etik bilgisayar korsanlarından bazıları kendi kendini yetiştirmiştir. Aslında, bazıları artık uzmanlıklarını zafiyetleri sömürmek yerine düzeltmeye yardımcı olmak için kullanır. Sızma testi yaptırmak için en iyi aday, hedef şirkete ve ne tür sızma testi yaptırmak istediğinize bağlı olarak büyük ölçüde değişebilir.

Penetrasyon / Sızma Testi Türleri

1-) BlackBox Pentest (Siyah Kutu Penetrasyon Testi); Siyah kutu penetrasyon testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan network e ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır.

2-) WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi); Beyaz kutu penetrasyon testi network teki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden network e girmeye ve zarar vermeye çalışmasının saldırı simülasyonu’dur.

3-) GreyBox Pentest (Gri Kutu Penetrasyon Testi); Gri kutu penetrasyon testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türüdür.

sızma testi nasıl yapılır?

Sızma testleri, etik bir bilgisayar korsanının simüle edilmiş saldırılarını planlamak için kullanacakları veri ve bilgileri toplamak için zaman harcadığı bir keşif aşamasıyla başlar.

Saldırı araçları, kaba kuvvet saldırıları veya SQL Injection üretmek için tasarlanmış yazılımları içerir . Bilgisayar korsanının bu ağa uzaktan erişimini sağlamak için ağdaki bir bilgisayara takılabilen göze çarpmayan küçük kutular gibi sızma testi için özel olarak tasarlanmış donanımlar da vardır. Ek olarak, etik bir bilgisayar korsanı, güvenlik açıklarını bulmak için sosyal mühendislik tekniklerini kullanabilir. Örneğin, şirket çalışanlarına kimlik avı e-postaları göndermek, hatta binaya fiziksel erişim sağlamak için teslimat görevlisi kılığına girmek gibi.

Bilgisayar korsanı, izlerini kapatarak testi tamamlar. Tüm gömülü donanımları kaldırmak, tespit edilmekten kaçınmak ve hedef sistemi tam olarak bulduğu gibi bırakmak için elinden gelen her şeyi yaptığı aşamadır.

Sızma Testinden Sonra Ne Yapılmalı?

Genel güvenlik duruşunuzu nasıl güçlendireceğinize ilişkin planları gözden geçirmek için sızma testinin sunduğu fırsatı kullanın. 

İşletmeler, sızma test cihazları tarafından kendilerine sunulan sonuçları eyleme geçirilebilir içgörülere dönüştürmelidir. Şirket içindeki karar vericiler, mevcut güvenlik protokollerinde gerekli değişiklikleri teşvik etmek için bu bilgileri kullanabilir. Ayrıca, izinsiz giriş testi sırasında ortaya çıkan riskleri ele alan gerekli herhangi bir teknoloji değişikliği ile ilerlenebilir.

Sızma testinin ardından ne olur?

Bir sızma testini tamamladıktan sonra, etik bilgisayar korsanı bulgularını hedef şirketin güvenlik ekibiyle paylaşacaktır. Bu bilgiler daha sonra test sırasında keşfedilen güvenlik açıklarını kapatmak için güvenlik yükseltmelerini uygulamak için kullanılabilir. Bu yükseltmeler arasında hız sınırlama , yeni WAF kuralları ve DDoS azaltmanın yanı sıra daha sıkı form doğrulamaları yer alabilir.

SECROMİX SİBER GÜVENLİK HİZMETLERİ

Doğal olarak, davetsiz bir misafir iyi kilitlenmiş bir kapıyı açmak için aylar harcamak istemez, ancak güvenliğin öncelikli olmadığı bilgi sistemlerinde zayıf noktaları ve güvenlik açıklarını arayacaktır. Küçük gibi görünen güvenlik açıkları büyük sorunlarına neden olabilir ve sisteminizin tehlikeye girmesine neden olabilir. Bu sorunları ortadan kaldırmanın ve azaltmanın en iyi yolu sızma testleri (pentest / Penetration Test) yaptırmaktır.

Şirket veya firmanızın olası tehlike, ihlalleri önlemek ve mevcut güvenlik kontrollerini her bir saldırgana karşı güçlendirmek ve savunmasını en üst düzeye çıkartmak için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi hizmetleri vermektedir.