Zafiyet taraması ve sızma testi karşılaştırması

Sistemlerinizi güvenlik açıklarına karşı test etmenin çok farklı iki yolu

Öncelikle her sızma testi güvenlik ihtiyaçlarınızın belirlenmesinde yeterli değildir. Zafiyet taramaları sızma testi değildir. Belirli araçların vermiş olduğu çıktılar açıklarınızın belirlenmesinde yeterli değildir. Sızma testi ve güvenlik açığı taraması genellikle aynı hizmetmiş gibi karıştırılır.

Güvenlik açığı taraması, olası güvenlik açıklarını arayan ve raporlayan otomatik, yüksek düzeyli bir testtir. Sızma testi, sisteminizdeki zayıflıkları tespit etmeye ve bunlardan yararlanmaya çalışan gerçek bir kişi tarafından yapılan ayrıntılı ve uygulamalı bir incelemedir.

Güvenlik açığı taraması nedir?

Güvenlik açığı değerlendirmeleri olarak da bilinen zafiyet taramaları, bilgisayarları, sistemleri ve ağları güvenlik açıkları olarak da bilinen güvenlik zayıflıkları açısından değerlendirir. Bu taramalar tipik olarak otomatiktir ve neyin istismar edilebileceğine bir başlangıç sağlar.

Yüksek kaliteli güvenlik açığı taramaları 50.000’den fazla güvenlik açığını arayabilir ve PCI DSS, FFIEC ve GLBA gerekliliklerine göre yapılır.

Güvenlik açığı taramaları manuel olarak başlatılabilir veya planlı olarak çalıştırılabilir ve birkaç dakika ile birkaç saat arasında tamamlanır.

Zafiyet testi, tespit edilen güvenlik açıkları hakkında raporlamanın ötesine geçmedikleri için güvenlik açığı yönetiminde pasif bir yaklaşımdır. Zayıflıkları öncelik sırasına göre düzeltmek veya keşfedilen bir güvenlik açığının yanlış bir pozitif olduğunu doğrulamak ve ardından taramayı yeniden çalıştırmak işletme sahibine veya BT personeline bağlıdır.

En önemli güvenlik açıklarının tarandığından emin olmak için, güvenlik açığı taramaları yalnızca bir PCI Onaylı Tarama Satıcısı (ASV) tarafından gerçekleştirilmelidir.

Güvenlik açığı taramasının faydaları

• Olası güvenlik açıklarına hızlı, üst düzey bakış,
• Çok uygun fiyatlı (genellikle tarama satıcısına bağlı olarak IP başına yıllık bir fiyat ile anlaşılır),
• Otomatik (haftalık, aylık, üç aylık vb. Çalışacak şekilde otomatikleştirilebilir),
• Tamamlanması hızlı (birkaç saat içinde gerçekleştirilir).

Güvenlik açığı taramasının dezavantajları

• Yanlış pozitif  veri değerlendirmesi,
• İşletmeler, tekrar test etmeden önce her bir güvenlik açığını manuel olarak kontrol etmelidir,
• Bir güvenlik açığından yararlanılabileceğini onaylamaz.

Sızma testi nedir?

Bir sızma testi uygulamalı araştırma ve açıklarını istismar üzerinden bir işletme sistemine girmek çalışırken bir hacker’ı taklit eder. Genellikle etik bilgisayar korsanları olarak adlandırılan uzmanlar, güvenlik açıklarını arar ve ardından kötüye kullanılabileceklerini kanıtlamaya çalışır. Parola kırma, arabellek taşması ve SQL enjeksiyonu gibi yöntemleri kullanarak, zarar vermeden bir ağdan veri almaya ve tehlikeli senaryoları ortaya çıkarmaya çalışırlar.

Sızma testleri, yazılım uygulamaları ve ağlarındaki güvenlik açıklarını bulmaya ve gidermeye yönelik son derece ayrıntılı ve etkili bir yaklaşımdır. Bir penetrasyon testinin faydalarını göstermenin, tıp dünyasından bir analoji ile örneklemek istersek: Vücudunuzun içinde bir sorun olduğunda, probleminizi teşhis etmeye yardımcı olması için gidip bir röntgen çektirebilirsiniz. Basit bir röntgen makinesi tarafından üretilen görüntü, kemik yapısında belirgin bir kırılmayı algılayabilir, ancak bu görüntü bulanıktır ve yumuşak doku hasarını görmek için iyi bir yol değildir. Vücudun içinde neler olup bittiğini gerçekten ayrıntılı olarak öğrenmek istiyorsanız, kemik ve yumuşak dokuların birlikte ayrıntılı bir 3B modeliyle sonuçlayan bir MRI yaptırmanız gereklidir. Bu, basit bir güvenlik açığı taraması ile bir sızma testi arasındaki farka benzer. Uygulamanızda veya ağınızda gerçekten derin sorunlar bulmak istiyorsanız, bir sızma testine ihtiyacınız vardır. Sistemlerinizi ve yazılımınızı zaman içinde değiştirirseniz, düzenli bir sızma testi, sürekli bir güvenlik sağlamanın en başarılı ve etkili bir yoludur.

Sızma testi yapanlar şu konularda uzmandır:

1. Siyah şapka saldırı metodolojileri (ör. Uzaktan erişim saldırıları, SQL enjeksiyonu)
2. İç ve dış testler (yani ağdaki birinin bakış açısı, İnternet üzerinden bilgisayar korsanının bakış açısı)
3. Web ön uç teknolojileri (ör. Javascript, HTML)
4. Web uygulaması programlama dilleri (ör. Python, PHP)
5. Web API’leri (ör. Dinlendirici, SOAP)
6. Ağ teknolojileri (ör. Güvenlik duvarları, anahtarlar, IDS)
7. Ağ protokolleri (ör. TCP / UDP, SSL)
8. İşletim sistemleri (ör. Linux, Windows)
9. Komut dosyası dilleri (ör. Python, Perl)
10. Test araçları (örneğin, Nessus, Metasploit)

Kısacası, sızma testi uzmanları, bir uygulamanın ve / veya bir kuruluşun veri güvenliğine derin bir bakış açısı sağlar.

Penetrasyon Testi Raporlaması

Genellikle, sızma testi raporları ayrıntılıdır ve kullanılan saldırıların bir açıklamasını, test metodolojilerini ve iyileştirilmesi için öneriler içerir.

Sızma testinin faydaları

• Canlı, manuel testler daha doğru ve kapsamlı sonuçlar anlamına gelir
• İyileştirmeden sonra yeniden bir test daha uygulanarak sorunun giderilip giderilmediği anlaşılır.
• Yanlış pozitifler yoktur.
• Sızma testi yıllık veya herhangi bir önemli değişiklikten sonra yapılır.

Sızma testinin dezavantajları

• Zaman (1 gün ila 3 hafta)
• Maliyet (Otomatik olarak yapılan testlere göre tabii ki biraz daha yüksektir.)

Güvenlik açığı taraması mı yoksa sızma testi mi? Hangisi daha iyi?

Aslında her iki test de optimum ağ ve uygulama güvenliğini teşvik etmek için birlikte çalışır. Güvenlik açığı taramaları, ağ güvenliğinize (hızlı röntgen gibi) ilişkin haftalık, aylık veya üç aylık harika bilgilerdir; sızma testleri ise ağ güvenliğinizi (periyodik  ve ayrıntılı MRI gibi) derinlemesine incelemenin çok kapsamlı bir yoludur. Evet, sızma testleri pahalı gibi görünse de, tüm sistemin genel güvenlik hizmetini bulmak için gerçek bir saldırganın yapacağı gibi işinizin sanal altyapısının her köşe bucağını incelemek için bir profesyonele para ödendiği unutulmamalıdır.

İşletmeniz için bir sızma testi fikrini değerlendirmek için biraz zaman ayırın.