Sızma testi kısaca; ağ, sistem ve uygulamaların siber saldırganlar tarafından kullanılan araç ve teknikler kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve bunların oluşturduğu tehlikeler önceden tespit edilip gerekli önlemler alınabilmektedir.
Bu dosyada; Sızma testinin amacı, Sızma testi nasıl yapılır, Sızma testinin raporlanması, dikkat edilmesi gereken noktalar, Sızma testi sürecinde yapılması gerekenler, Sızma testi yaklaşımları, Tandem, Zafiyet taraması, Zafiyet yönetimi gibi başlıklara yer verilmektedir.
2. Sızma Testi Nedir?
Sızma testi kısaca; ağ, sistem ve
uygulamaların siber saldırganlar
tarafından kullanılan araç ve teknikler
kullanılarak test edilmesidir.
Bu sayede var olan güvenlik açıkları ve
bunların oluşturduğu tehlikeler önceden
tespit edilip gerekli önlemler
alınabilmektedir.
www.sparta.com.tr
3. Sızma testinin diğer
isimleri nelerdir?
• Penetrasyon Testi
• Offensive Security
• Ethical Hacking
• Red Teaming
• Pentest
www.sparta.com.tr
4. Sızma Testinin Amacı
Nedir?
Kuruluşun, bilgi teknolojileri ve internet
iletişimi ağı ve bileşenlerinin risk
seviyesinin ölçülmesi ve raporlanması
amacıyla sızma testleri yapılır.
Bu kapsamda, siber suçlular tarafından
kullanıldığı bilinen araç ve teknikler
kullanılarak kuruluş bilgi güvenliği seviyesi
değerlendirilir.
Sızma testleri kuruluşların siber güvenlik
seviyesinin artırılmasını amaçlar.
www.sparta.com.tr
5. Sızma Testi Nasıl
Yapılır?
Siber güvenlik uzmanları tarafından, siber
saldırganların kullandıkları araç ve
teknikler kullanılarak gerçekleştirilen
sızma testlerinde, saldırganların bakış
açısıyla hareket edilir.
Zafiyetler tespit edilir ve hedef sisteme
erişim sağlanmaya çalışılır.
Çalışmalar sırasında kuruluş ağ, sistem ve
uygulamaların zarar görmemesi ve hizmet
dışı kalmaması için gerekli tedbirler alınır.
www.sparta.com.tr
6. Sızma Testinin
Raporlanması
Sızma testi yalnızca bir sistemin
“hacklenmesi” veya “hacklenmeye
çalışılması” olarak düşünülmemelidir.
Bu sürecin doğru şekilde analiz edilmesi
ve anlaşılır şekilde raporlanması,
kuruluşun yarar sağlayabilmesinin yegâne
yoludur. Aksi halde yapılan işlem zafiyet
tespitinden öteye geçmeyecektir ki bu
otomatik araçlar vasıtasıyla sızma testi
uzmanlarına ihtiyaç kalmadan da zaten
yapılabilmektedir.
www.sparta.com.tr
7. Sızma Testi Sonucu
Sızma testinin yapılması ve
raporlanmasının ardından kuruluşun
tespit edilen zafiyetleri gidermesi ve
sonrasında gerekli kontrol testlerinin
yapılması da sızma testi kapsamında
olmalıdır. Aksi halde sızma testi
tamamlanmış sayılamayacaktır.
Kontrol testi sonrası bir «Kontrol Testi
Raporu» yazılarak sızma testi
sonuçlandırılır.
www.sparta.com.tr
8. Dikkat!
Sızma testlerinin siber güvenlik uzmanları
tarafından kurumdan yetki (yazılı izin)
alınarak ve yasal olarak gerçekleştirilmesi
gereklidir. Aksi davranışlar 5237 sayılı TCK
(Türk Ceza Kanunu), “Bilişim Alanında
İşlenen Suçlar” başlığı altında yer alan 243
ile 244. maddeleri uyarınca suç sayılır.
İlgili maddeler:
• “Bilişim sistemine girme suçu (TCK
m.243)”
• “Sistemi Engelleme, Bozma, Erişilmez
Kılma, Verileri Yok Etme veya Değiştirme
Suçu (TCK m.244)
www.sparta.com.tr
9. Sızma Testi Neden
Yapılmalıdır?
Kuruluşların bilişim sistemlerindeki
güvenlik zafiyetlerinin alanında yetkin bir
siber güvenlik uzmanı tarafından kontrol
edilmesi ve raporlanması proaktif siber
güvenliğin en önemli adımlarındandır.
Kuruluşun siber güvenlik yolunda nerede
olduğunu periyodik olarak
değerlendirmesi gerekmektedir.
Bu değerlendirmeler sonucunda yapılacak
olan iyileştirmelere karar verilecek ve
atılması gereken adımlar
belirlenebilecektir.
www.sparta.com.tr
10. Sızma Testi Neden
Yapılmalıdır?
• Kuruluşun güvenlik politikalarının verimliliğini
denetlemek
• Zafiyet ve açıklarımızı bilmek
• Kuruluşun güvenlik kapasitesini ayrıntılı olarak
görmek
• Bilinen zafiyetlere karşı sistemimizi test etmek
• Riskleri ve tehditleri ortaya çıkartmak
• Ağ güvenlik cihazlarımızın verimliliğini
değerlendirmek
• Başımıza gelebilecek olası saldırı ve sistemlerimizin
istismar edilmesi ihtimalini engellemek için
kapsamlı bir plan sahibi olmak
• Mevcut alt yapımızın bir değişikliğe ihtiyaç duyup
duymadığını anlayabilmek için sızma testlerinin
periyodik olarak yapılması gerekmektedir.
www.sparta.com.tr
11. Sızma Testi Çeşitleri
Nelerdir?
Kuruluş ihtiyacına bağlı olarak, sızma testi
kapsamında testler 2 temel erişim noktası
üzerinden yapılır:
• İç ağdan yapılacak sızma testleri:
Kuruluş ağının içinde bir erişim noktası
kullanılarak yerel ağ ve bu ağa bağlı
sistemler test edilir.
• Dış ağdan yapılacak sızma testleri:
Kuruluşa ait ve internet üzerinden
erişilebilen sistemler test edilir.
www.sparta.com.tr
12. Sızma Testi Çeşitleri
Nelerdir?
Sızma testleri kapsamında yapılan başlıca
testler şunlardır;
• İşletim sistemi sızma testleri
• Ağ üzerinden yapılabilecek saldırıların
testleri
• Web uygulama sızma testleri
• Mobil uygulama sızma testleri
• Veritabanı sızma testleri
• IP telefon ve IP kamera testleri
• Hizmet dışı bırakma (DoS/DDoS) testleri
• Sosyal mühendislik testleri
www.sparta.com.tr
13. Sızma Testi Sürecinde
Neler Yapılır?
• Sistemlerin keşif ve tarama çalışmaları
• Sistemler ve ağ üzerindeki zafiyetlerin tespit
edilmesi
• Tespit edilen zafiyetlerin istismar edilmesi
• Saldırı simülasyonu kapsamında manüel
sızma testlerinin yapılması
• Raporlama (Tespit edilen zafiyetlerin
giderilmesi için önerilerin sunulması)
• Workshop: Siber güvenlik ve etik hacking
• Kontrol testleri
• Kontrol testinin raporlanması
www.sparta.com.tr
14. Sızma Testi
Yaklaşımları Nelerdir?
• Black Box: Testleri yapacak olan kişi ya
da kişiler sistem ile ilgili bulabildikleri
tüm bilgileri kendisi toplar ve testi yapar,
kuruluş tarafından hiçbir bilgi verilmez.
• Gray Box: Kuruluş sistemi ile ilgili bazı
bilgiler sızma testini gerçekleştirecek
olan ekibe test öncesinde verilir.
• White Box: Testi gerçekleştirecek olan
sızma testi ekibine kuruluş içerisindeki
tüm yapı ve/veya sistem hakkında bilgi
verilir.
• Tandem: Sızma testleri kuruluş
personeli ile birlikte gerçekleştirilir.
www.sparta.com.tr
15. Tandem
Nedir?
Kuruluşun talep etmesi halinde sızma
testleri “Tandem metodolojisi» ile de
gerçekleştirilebilmektedir.
Bu durumda testlere kuruluş personeli
dahil edilerek testler adım adım birlikte
yürütülmektedir.
Bu yaklaşım özellikle siber güvenlik
olgunluk seviyesini geliştirmek isteyen ve
sızma testi sürecinden bilgi ve beceri
transferi olarak da yararlanmak isteyen
kuruluşlar için uygundur.
www.sparta.com.tr
16. Zafiyet Taraması
Nedir?
Zafiyet taraması; Sistemler ve
uygulamalar üzerinde bulunan zafiyetlerin
tespit edilmesidir.
Sızma testi ile karıştırılabilen bu
hizmetlerde sadece sistem bazında
mevcut zafiyetler tespit edilerek
raporlanır.
Sızma testi kadar kapsamlı değildir ve
kuruluşa faydası daha düşüktür.
www.sparta.com.tr
17. Zafiyet Yönetimi
Nedir?
Zafiyet Yönetimi; zafiyet taraması sonucu
belirlenen zafiyetlerden giderilmesi ve bu
işlemlerin düzenli olarak yapıldığı
kurumsal bir süreçtir.
www.sparta.com.tr
19. SPARTA BİLİŞİM
SIZMA TESTİ SÜRECİ VE FARKLILIKLARI
Sparta Bilişim olarak sızma testi sürecine 1 günlük Workshop ekledik
ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve
çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri
sunabiliyoruz.
Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.
www.sparta.com.tr
20. SPARTA BİLİŞİM
SIZMA TESTİ SÜRECİ VE FARKLILIKLARI
Ülkemizde yapılan sızma testlerinin önemli bir kısmı “greybox” testlerdir. Çalışmanın
yapılacağı kuruluştan “kapsam formu” ile bazı bilgilerin talep edildiği andan itibaren
kısmi de olsa sistem sayıları işletim sistemleri ve genel ağ yapısı hakkında bilgi
verilmiş olduğu için bu şekilde yapılan testlere «blackbox» demek doğru değildir.
Sparta Bilişim neden kapsam formu kullanmaz?
• Kuruluşu hedef alacak bir saldırgan kapsam formu talep etmez
• Kuruluşun gözünden de kaçmış olabilecek noktalar ortaya çıkartılabiliyor
www.sparta.com.tr
21. SPARTA BİLİŞİM
SIZMA TESTİ SÜRECİ VE FARKLILIKLARI
Saldırganı olabildiğince iyi simüle etmek amacıyla iç testlere de
öncelikle “blackbox” olarak başlanıp, ilerleme doğrultusunda
kuruluştan bazı izin ve yetkiler talep edilmektedir.
Dünyada sayılı bir kaç firmanın izlediği özel bir metodolojidir.
www.sparta.com.tr
22. SPARTA BİLİŞİM
SIZMA TESTİ SÜRECİ VE FARKLILIKLARI
Test hizmetlerimiz NIST, EC-Council, OWASP ve SANS gibi uluslararası
olarak kabul görmüş standart ve metodolojilere uygun olarak verilir.
www.sparta.com.tr