1- Sızma testi nedir?
Sızma testi, kapsamlı bir bilgi güvenliği denetiminin bir parçasıdır . Denetim sırasında, bilgi güvenliğini sağlamaya yönelik organizasyonel ve teknik önlemlerin çoğu analiz edilir. Güvenlik sistemi ayarları kontrol edilir, ekipman, sistem yazılımı ve kullanıcı yazılımındaki güvenlik açıklarının varlığı ortaya çıkarılır ve çalışanların hedeflenen kimlik avı gibi geleneksel hilelere tepkisi ve bazen yetkisiz personelin fiziksel erişimi incelenir. Bu kontroller birlikte, bir kuruluşun bilgi güvenliği sistemindeki zayıflıkların belirlenmesine yardımcı olur.
2- Neden sızma testi yapılmalı?
Sızma Testi her şeyden önce bilgi varlıklarının koruma düzeyini artırmaktır. Örneğin, bir bankadaki güncellenmemiş işletim sistemlerinin varlığı, uygulama yazılımı, güvenlik araçları, standart veya sözlük şifrelerinin kullanımı, yerel ağ alt ağları arasında sınırlama olmaması gerçek bilgi koruma seviyesini gösterir.
3- Sızma testinde hangi araçlar kullanır?
Sızma testi yapılırken çok farklı işletim sistemi dağıtımları ve araçlar kullanılabilir bunlardan bazıları aşağıda listelenmiştir:
- dnsenum
- dnsmap
- dnsrecon
- dnstracer
- dnswalk
- FindDomains
- HostMap
- Urlcrazy
- theHarvester
- Nmap
- OpenVAS
- Wireshark
- tcpdump
- Metasploit Çerçevesi
- Kali linux
- THC Hydra
- Cain ve Abel
- Zed Uygulama Proxy’si
- Intercepter NG ….vb.
4- Sızma Testi Raporu neleri içerir?
- Keşfedilen güvenlik açıklarından yararlanılmasının nelere yol açabileceğini açıklayan kılavuz özeti
- Ortak Güvenlik Açığı Puanlama Sistemi ( CVSS ) ile belirlenen güvenlik açıklarının listesi
- Güvenliği ihlal edilmiş IP ve hesapların listesi, güvenlik açıklarından nasıl yararlanılacağına ilişkin teknik açıklama
- Güvenlik açıklarını ortadan kaldırmak için öneriler – gerekli yazılım ve donanım araçlarının ve kurumsal önlemlerin listesi
5- Sızma Testi yapan bir organizasyon için gereksinimler nelerdir?
Her şeyden önce, sızma testi yapan çalışanlar alanlarında yetkin kişiler olmalıdır. Bu, hem sızma testi yaptıracak kuruluşlar hem de sistem entegratörlerinin çalışanları için geçerlidir.
Kuruluşlar, gerekli araçlara ve uzmanlığa sahiplerse kendi başlarına sızma testi yapabilirler. Ama Yönetmelikler, sızma testi yapmak için harici bir yüklenicinin zorunlu katılımını önermektedir.
6-Sızma testi yöntemleri nelerdir?
Türk ve yabancı standartların bazı yöntemleri kullanılır:
- Bankacılık Düzenleme Ve Denetleme Kurumu
- NIST SP800-115
- PCI Veri Güvenliği Standardı (PCI DSS) 3.0
- PTES (Penetration Testing Execution Standard) Teknik Yönergesi
7-Sızma testi nasıl yapılır?
Müşteri tarafından test edilen sistem hakkında sağlanan bilgilere bağlı olarak “beyaz”, “gri” veya “siyah” kutu yöntemi kullanılarak sızma / penetrasyon testi yapılabilir. Şirketimiz genellikle test edilen sistemlerin eksik bilgisi olduğu durumlarda gri kutu sızma testi gerçekleştirir.
8-Sızma testi Aşamaları nelerdir?
Testin “sıfır aşaması”, firmanın bilgi sistemleri, kullanılan işletim sistemleri, yazılımlar, protokoller, ağ ekipmanları ile ilgili bilgilerin toplanmasıdır.
İlk aşama, firmanın internetten sağlanan kamu hizmetlerinin harici testidir. Kaynakların listesi, test süresi ve kaynakların kritikliği önceden tartışılmıştır.
Daha sonra iç test yapılır. firmanın iç ağına zaten girmiş olan harici bir saldırganın (veya asgari haklara sahip bir dahili saldırganın) eylemleri modellenmiştir. Örneğin bir banka için, yüklenicinin IP adresinden bankanın ağında bulunan Merkez Bankası’na uzaktan erişim sağlanır.
Üçüncü aşama, güvenlik açıklarının manuel olarak doğrulanması ve bir raporun hazırlanmasıdır. Test sırasında bazı kritik güvenlik açıkları firma tarafından ortadan kaldırılabilir.
Müşteri ile mutabık kalınması halinde, testler sosyal mühendislik yöntemleri kullanılarak da gerçekleştirilebilir.
9-Sızma testi ile güvenlik açığı değerlendirmesi arasındaki fark nedir?
Bu tekniklerin her ikisi de yazılım ürününü güvenli hale getirmek için aynı amaca sahiptir, ancak farklı iş akışlarına sahiptirler.
Sızma testi, manuel olarak veya otomasyon araçları kullanılarak yapılan gerçek zamanlı doğrulamalardır; sistem ve ilgili bileşeni, güvenlik açıklarını belirlemek için simüle edilmiş kötü niyetli saldırılara maruz bırakılır.
10-Ne sıklıkla sızma testi yapmalısınız?
Bilgi teknolojisi alanı çok dinamiktir sürekli yazılım ve donanımlar güncelleniyor, uzaktan servisler bağlanıyor, yeni çalışanlar geliyor, şirketin yapısı değişiyor. Sızma testi sonuçları zamanla geçerliliğini yitirecek bu yüzden planlama yapılarak tekrarlanmalıdır.