Sızma testi: Verimlilik ve popülerlik

Bilgi güvenliği risklerini belirlemede sızma testi giderek daha popüler hale geliyor. Başarılı web site saldırıları ve kritik veri sızıntı haberleri, iş adamlarını kritik sistemlerinden ödün verme olasılığını değerlendirmeye teşvik ediyor. Bir sızma testi ne zaman gerçekten yararlı olabilir ve hangi durumlarda para kaybı olur?

Sızma Testi nedir?

Sızma testi güvenlik açıklarını göstermek ve uygulanan bilgi koruma önlemlerini teknik, organizasyonel ve benzeri konularda test etmektir.

Sızma /Penetrasyon testi şunları sağlar:

  • Bilgi güvenliğine yönelik tehdit olasılığını öğrenmek;
  • Hedeflenen bir hacker saldırısının olası sonuçlarını değerlendirmek;
  • Bilgi sisteminin korunmasındaki açıklıkları belirlemek;
  • Bilgi koruma araçlarının etkinliğini/performansını değerlendirmek;
  • Bilgi güvenliği yönetiminin etkinliğini değerlendirmek;
  • Saldırının başarılı bir şekilde uygulanıp uygulanmadığı ile ilgili failin olası beceri düzeyini değerlendirmek;
  • Bilgi güvenliğine kaynak aktarmanın veya daha fazla yatırım yapılmasını gerekçelendirecek argümanlar elde etmek;
  • Saldırı olasılığını azaltmak için bir karşı önlem listesi geliştirmek.

Sızma testi zahmetli bir iştir ve uzmanların yetkinliği için gereksinimler çok yüksektir. Bir pentester (sızma testi uzmanı) çok sayıda teknik kullanabilmeli, bilgi güvenliğinin teknik ve organizasyonel bileşeninin tüm nüanslarını anlayabilmeli, yaratıcı bir yaklaşım uygulayabilmeli ve sosyal mühendislik becerilerine sahip olmalıdır. Bu, iyi bir sızma testini pahalı bir hizmet haline getirebilir ama bunu yalnızca kuruluş için gerçekten gerekli ve etkili olduğu zamanda yapmak şirketi bir kaostan kurtarabilir.

Sızma testi ne zaman etkilidir? Dünya uygulamaları deneyimi

Dünyanın en iyi uygulamaları, bilgi güvenliği öncelikleri sisteminde uzun süredir Sızma Testi / Pentest yapmanın yerini belirlemiştir.

SANS Enstitüsü tarafından yayınlanan bir raporda (bilgi güvenliği sorunlarını araştırması), bilgileri korumak için en önemli 20 kritik önlem sunulmuştur. Önlemler 1 ile 20 arasında bir önceliğe göre sınıflandırılmıştır. Öncelikler rastgele seçilmemiş ve  tesadüfi değildir, çünkü ilk önce en tehlikeli risklerin sonuçlarını azaltan önlemleri uygulamak gereklidir. Belgeye göre penetrasyon testi yirmi öncelik vardır. Örneğin 20 numara, zararlı böceklerin bilgi güvenliği tehdidinin önemli bir bileşen olduğu, ancak kötü amaçlı yazılımlara karşı korumadan (No. 5) veya veri yedekleme organizasyonundan (No. 8) daha düşük önceliğe sahip oldukları anlamına gelir.

Standartlar 

NIST Uluslararası Standart 800-53, bilgi koruma önlemleri ve tavsiyelerinin, ne zaman ve nasıl kullanılacağının bir açıklamasıdır. Önlemler ayrıca önceliklere göre sınıflandırılır (P1 – P3 arasında , P1 en yüksek önceliktir). NIST 800-53‘e göre, sızma testinin (kod CA-8) P2 önceliği vardır, yani ilk önce P1 önceliğine sahip önlemleri uygulamak daha etkilidir (örneğin, bilgi sistemi bileşenlerinin muhasebesi, kullanıcı tanımlama / kimlik doğrulama yönetimi, olay yanıtı). Ayrıca standart, bilgi kaynağının kritikliğine bağlı olarak farklı bir dizi güvenlik önlemi sunar. Sızma testi, öncelikle yüksek kritikliğe (en değerli bilgi) sahip bilgi sistemleri için önerilir. Bu oldukça mantıklıdır çünkü ilk olarak ISO / IEC 27001 standardı, bilgi güvenliği yönetimi alanında dünyanın en iyi uygulamalarının açıklamalarını içerir. Daha önce gözden geçirilen standartların aksine ISO 27001, daha genel “teknik güvenlik açığı yönetimi” kavramını dikkate alarak sızma testini ayrı bir önlem olarak ayırt etmez.

Standart, “bilgi sistemleri tarafından kullanılan teknik güvenlik açıkları hakkında zamanında bilgi edinmenin, bu tür güvenlik açıklarının ciddiyetinin değerlendirilmesinin ve ilgili riski ortadan kaldırmak için uygun önlemlerin alınmasının gerekli olduğunu” belirtir. Sızma testi, teknik güvenlik açığı yönetiminin bir parçası olarak standart tarafından dikte edilen tüm görevleri çözemez. Bununla birlikte,  ISO 27001 bağlamında, sızma testi şu şekilde yararlı olabilir:

  • Risk değerlendirme aşaması (belirli tehditlerin uygulanmasının olasılığının ve sonuçlarının değerlendirilmesi);
  • Tehdit riskini azaltacak önlemlerin geliştirilmesi;
  • Bilgi güvenliği yönetiminin kalitesinin sürekli iyileştirilmesi süreci (mevcut koruyucu önlemlerin etkinliğinin sürekli değerlendirilmesi).