Önceleri, ortalama bir kişi bilgisayar korsanlarını sadece filmlerde ya da dizilerde görürdü. Ve bilgisayar arıza süreçleri büyük ölçüde sektörü etkilemezdi. Bugün, kritik veri ve servis kesintileri sızıntıları şirketi tamamen felç edebilir veya büyük kayıplara yol açabilir. Beş dakika sosyal medya mecraları, bankalar işlemleri durdursa veya erişimleri engellense sansasyon haberler olur. Bilgi güvenliği ile ilgili olayların sayısı katlanarak artıyor ve küresel çapta meydana gelen hasar zaten milyarlarca ABD doları olarak kabul ediliyor.
BT altyapısı nasıl korunması gerekiyor, tehditlere dayanma yeteneğini nasıl ölçülüyor? Büyük işletmeler hem çeşitli kanunların zorunlulukları hem de gereklilikler nedeni ile bu testleri yaptırıyor. Ne yazık ki, küçük işletmelerin temsilcileri bu tür testlerin çok karmaşık ve pahalı olduğunu düşünmektedir. Bugün, bu klişeyi küçük bir şirkette yürütülen bir sızma testi / penetrasyon testi örneği ile kırmaya çalışacağız.
Pentest nasıl yapılır?
Güvenlik sertifikalı uzmanlar, müşterinin kurumsal altyapısına sadece teknik araçları değil, aynı zamanda sosyal mühendislik yöntemlerini kullanarak içeriden ve dışarıdan erişilebilen her yönden saldırır. Büyük hacker saldırılarını veya dahili dolandırıcıların eylemlerini kontrol altında ve tehlikeli sonuçları olmadan simüle eder. İş açısından kritik verileri işleyen bilgi sistemlerinin pratik güvenliğini değerlendirme görevi belirlenir. Sonuç olarak, müşteri, bilgi güvenliğindeki mevcut tehditler ve zafiyetler göz önünde bulundurularak geliştirilmiş, yetkisiz bilgiye erişim risklerini azaltmak için kapsamlı bir analitik rapor ve spesifik öneriler alır. Potansiyel saldırganların eylemlerini simüle etmek için, saldırganın belirli hedefler hakkında bilgi yoksa Kara Kutu senaryosu (veya bilgi modeli) kullanılır.
Bir sızma testi örneği (Müşteri adı ve bilgileri gizli tutulmak kaydı ile);
- Dahili sızma testi için, uzak kullanıcı davetsiz misafir modeli kullanıldı. Saldırgan, bir VPN aracılığıyla hedef LAN’a kontrolsüz bir iş istasyonundan bağlandı. Active Directory etki alanına mantıksal erişimi yoktu ve ayrıca şirket ağının yapısı ve içinde kullanılan güvenlik araçları hakkında bilgi sahibi değildi.
- Dış penetrasyon testi eylemleri “İnternet korsanı” modeline karşılık gelir. Fakat bu illa ki kötü adamların kurumsal ağ ve kaynaklarına erişim hakları hakkında bilgi sahibi olduğu anlamına gelmez.
- Son senaryo olan “Davetsiz Misafir”, merkez ofisinin bulunduğu kablosuz ağın güvenliğini analiz etmek için kullanıldı.
Test adımları
Çalışma, PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı), Açık Kaynaklı Güvenlik Test Metodolojisi Kılavuzu (OSSTMM) ve OWASP Test Kılavuzu gibi uluslararası standartlar ve yönergelerin gereklilikleri ve önerileri dikkate alınarak birkaç aşamada gerçekleştirilmiştir. Gerekli gizlilik sözleşmeleri (NDA gibi) yapılmıştır.
1.Adım: Başlangıçta ağ istihbaratı için seçilen senaryo (bilgi modeli), yani hedef altyapı ve içinde bulunan nesneler hakkında veri toplama yapıldı:
- alan adları ve bölgeler,
- ağ adresleme,
- ağ bileşenleri,
- güvenlik araçları,
- web uygulamalar,
- hesap adları,
- kullanılmış yazılımlar,
- çalışan hizmetler ve daha fazlası.
2.Adım: Bir sonraki adım, teknik açıkların hem otomatik araçlar hem de “manuel” yöntemlerle tanımlanmasıdır.
3.Adım: Profil oluşturma aşamasında, çalışma ortamı için hazırlıklar ve saldırı araçları hazırlanmıştır.
4.Adım: Son aşama en hassas olan gerçek penetrasyon aşamasıdır. Kalifiye uzmanlar hizmet kesintilerine veya veri bozulmasına yol açmadan belirlenen güvenlik açıklarından yararlandı.
5.Adım: Mutlaka sosyal mühendislik testlerinden bahsetmek gereklidir. Uzmanlarımız, hedef hakkında halka açık bilgiler topladı, olası saldırı vektörlerini belirledi, sahte bir kimlik avı postası yaptı ve kullanıcının buna tepkisini analiz etti.
6.Adım Yine kötü amaçlı yazılımları taklit eden (ancak tehlikeli sonuçları olmayan) yazılımlarla müşterinin merkezindeki flash sürücülerin güvenlikleri test edildi.
7.Adım Kurumsal web sitesinin güvenliğinin analizi oldukça önemli bir adımdır. Sadece hizmet reddine yönelik dağıtılmış hizmet reddi (DDOS) saldırılarına dayanma yeteneğini değil, aynı zamanda potansiyel saldırganların iç ağa yetkisiz erişim için savunma mekanizmalarını aşma yeteneğini de test edildi. Gizli bilgi edinme, hileli faaliyetlerde bulunma, veri bütünlüğünü ve bilgi sistemlerinin performansını ihlal etme olasılıklarını araştırıldı.
Makalenin Raporlama ve güvelik ile ilgili kısmını bir sonraki makalede okuyabilirsiniz.