Penetrasyon Testleri


PENETRASYON TESTLERİ (SIZMA TESTLERİ) NE AMAÇLA YAPILIR?

Siber saldırı

Penetrasyon testleri bir bilgisayar sistemi üzerinde gerçekleştirilebilecek siber saldırılara karşı bu sistemin güvenlik açıklarını önceden tespit edip, gerekli önlemleri almaya imkan sağlamak için yapılan bir siber saldırı simulasyonudur. Gerçek bir siber saldırı gerçekleşmeden önce belirlenen açıkların kapatılmasını amaçlar.

Penetrasyon testi araçları ile sistemin güvenlik açıkları tespit edildikten sonra bulunan açıkların çeşitleri ve neden olabileceği sorunlar raporlanır. Güvenlik açıkları belirlendikten ve bu açıklar kapatıldıktan sonra penetrasyon testinin tekrar yapılması, bu açıkların kapatıldığının teyit edilmesi gerekir.


PENETRASYON TESTLERİ KİM TARAFINDAN YAPILIR?

Penetrsasyon testi yapan bilgi teknolojileri güvenlik ekibi

Penetrasyon testlerinin bilgisayar ağı uzmanları, sistem umanları veya bilgi güvenliği uzmanları tarafından yapılması gerekir. Her ne kadar sistem açıklarının taranması bu işe uygun yazılımlar kullanılarak otomatize bir şekilde yapılabiliyorsa da, penetrasyon testlerinin planlamasının ve uygulamasının doğru ve eksiksiz yapılabilmesi için bilgisayar ağlarının nasıl işlediğini iyi bilen, taranan sisteme dahil olan bilgisayar, sunucu ve cihazların işletim sistemlerinin ve bilgisayar ağları üzerinden ulaşılabilir olan yazılımlarının özelliklerini iyi anlayan, penetrasyon testleri araçlarını kullanmayı da iyi bilen tecrübeli bir ekip görevlendirilmelidir.


GÜVENLİK DUVARI (FIREWALL) İLE KORUNAN BİR SİSTEMDE PENETRASYON TESTİ YAPMAK GEREKLİ Mİ?

Güvenlik duvarı kavramsal şema. Güvenlik duvarı olan sistemde penetrasyon testi yapılmalı mı

Sisteme erişimi sınırlandıran bir güvenlik duvarı olmasına rağmen, eğer internet üzerinde bir hizmet veriliyorsa, örneğin bir web sitesi yayınlanıyorsa, bu web sitesine olan bağlantı internetten erişime açık olmalıdır ki ziyaret edilebilsin. Kısacası bir web sitesini yayınlamak istediğimizde bu web sitesine tüm dünyadaki tüm bilgisayarların erişebilir olacağını kabul etmiş oluyoruz, hatta ne kadar çok ziyaret edilirse o kadar iyi diye düşünüyoruz. Güvenlik duvarlarında, erişime izin verildiği an yapılabilen bir takım siber saldırı denetlemeleri olabilse de hiç biri penetrasyon testindeki detaylı kontrolleri anlık olarak yapma ve koruma yeteneğine sahip değil. Bu durumda firewall korunması istenen bazı alanlara erişimi kısıtlasa da tek başına bir koruma sağlamayacaktır

Sağlanması gereken güvenlik ağırlıklı olarak web sunucusunun işletim sistemi, yazılımları ve konfigurasyonlarının yanısıra web sitesini oluşturan kodları yazan ekibin aldığı önlemlere bağlıdır.

Penetrasyon testleri, normal bir şekilde bağlantı kurmasını beklediğimiz kullanıcıların, erişime açtığımız alanlara olmadık bilgiler göndererek ya da farklı yöntemler kullanarak sistemi ve sistemdeki bilgilerin güvenliğini tehlikeye atacak davranışlarda bulunma ihtimallerini detaylı bir şekilde araştırır.


PENETRASYON TESTLERİ HANGİ SİSTEMLER ÜZERİNDE YAPILIR?

Lokal bilgisayar ağı, kavramsal şema

İnternete kapalı bir system olsa dahi şirket dahilinde birbirlerine ulaşabilen bilgisayarlar, bir bilgisayar ağı olması durumunda penetrasyon testi yapılması faydalı olacaktır. Şirket dahilinde bir bilgisayardan diğerine yetkisiz erişim sağlanması, böylece verileri bozabilme veya silebilme ihtimali vardır. Unutulmamalıdır ki siber saldırılar internet üzerinden yapılabildiği gibi, dahili bilgisayar ağına bağlı olan şirket bilgisayarlarından kaynaklanabilir. Hatta siber güvenlikteki en zayıf halka şirket personeli ve kullandığı cihazlar olarak kabul edilir.

Bilgisayar ağı ve cihaz/bilgisayar sayısı ne kadar fazla ise o sistem penetrasyon testine o kadar uygundur.


PENETRASYON TESTLERİNDEKİ AŞAMALAR NELERDİR?

Penetrasyon testi planlama, keşif, saldırı ve raporlama aşamaları

Planlama: Sistem hakında mümkün olduğunca bilgi edinilir. Internete açık sunucular, dahili bilgisayar ağına açık sunucular, bu sunucular üzerindeki hizmetler

Test: Planlama penetrasyon testleri aracı veya araçları ile yapılır.

Raporlama: Penetrasyon testi aracının bulguları, penetrasyon testini gerçekleştiren personelin görüşleriyle birlikte rapor haline getirilir.


PENETRASYON TESTİ İLE NE TÜR GÜVENLİK AÇILARI TARANIR?

Penetrasyon testi ile taranabilecek güvenlik açıkları kavramsal

Yazılımlardaki tasarımsal hatalar: Kullanıcı adı alanına gereğinden fazla bilgi yazılabilmesi, kullanıcı adı alanına program kodları yazılabilmesi(Ör: SQL Injection),..

Zayıf veya Yetersiz sistem konfigurasyonları: Varsayılan şifrelerin kurulum sonrasında değiştirilmemesi, zayıf şifre kullanılması. Sunuculara sınırsız, kontrolsüz bir şekilde bağlantı imkanı tanımlanmamış olması gerekir. Sadece hizmet verilmek istenen kadarına izin verilmelidir.

İnsan faktörü: Gereksiz yere şifresiz ve/veya okuma-yazma hakkı ile paylaşıma açılan dosyalar, kullandıkları bilgisayarlar üzerinde yaptıkları yanlış uygulamalar.

İletişim faktörü: Şifresiz veya zayıf şifreli iletişim durumunda bilgisayar ağını dinleyebilen bilgisayarlar iletilen verileri, şifreleri ele geçirebilir.


PENETRASYON TESTLERİ İLE NE TÜR GÜVENLİK AÇIKLARI TARANIR?

Nessus penetrasyon testi sonucu, güvenlik açıkları ekranı

Penetrasyon testlerinde bir çok farklı araç kullanılabilir. Kullanım kolaylığı ve özellikleri arttıkça ücretleri de artmaktadır.

Nessus: Nessus akla ilk gelen, çok yaygın kullanılan, kullanımı kolay fakat ücreti de oldukça fazla olan bir penetrasyon testi aracıdır. Maliyeti karşılanabiliyorsa kullanılması önerilir.

Kali Linux: Bir işletim sistemi uyarlaması/dağıtımı olan Kali Linux, çok sayıda Güvenlik açığı tespiti yapabilen yazılımları barındırır. Linux dağıtımlarının ve yazılımlarının büyük çoğunluğu gibi Kali Linux sürümü ve dahilinde kurulmuş olan yazılımlar da açık kaynaklı kodlardan oluşmaktadır ve ücret gerektirmez. Bu yazılımların kurulumu ve kullanımı next – next – next şeklinde kolaylık sağlamasa da yetenekleri binlerce dolar verip alınabilecek yazılımlardan aşağı değildir.


PENETRASYON TESTLERİ NE ZAMAN YAPILIR?

ISO 27001 kavramsal

Yeni bir bilgisayar ağı/sistemi aktif hale getirildiğinde penetrasyon testleri ile sistem açıkları denetlenebilir. Penetrasyon testleri periyodik olarak yenilenmelidir çünkü genelde bilgisayar ağları ve bu ağlarda bulunan bilgisayarların/cihazların yazılımları zamanla değişim gösterebilmektedir.

Örneğin sistemdeki bir bilgisayarın rutin ve basit bir işletim sistemi güncellemesi, ya da üzerine yüklenen yeni bir yazılım yeni bir güvenlik açığına neden olabilir.

Yasalar veya devam ettirilen akreditasyon süreçleri varsa, bunlara uygun periyodlarda penetrasyon testi yapılması da gereklidir.

Örneğin 6698 numaralı Kişisel Verilerin Korunması Kanunu (KVKK), siber saldırı yapılması durumunda verilerin yetkisiz kişilerin eline geçmemesi, veri bütünlüğünün bozulabileceğ farliyetlerin önlenmesi amacıyla yeterli teknik tedbirlerin alınması gerektiğini belirtir. Alınan teknik tedbirlerin yanısıra, bu siber saldırılara karşı yeterli bir koruma sağlandığını kanıtlayabilmek için Penetrasyon Testleri yapılması bu amaç doğrultusunda önemli bir çalışmadır.

Penetrasyon testlerinin nasıl planlandığını, kim tarafından ne zaman ve hangi araçlarla/yöntemlerle uygulandığını, elde edilen sonuçlara göre ne tür faliyetler gerçekleştirildiğini, açıkların nasıl kapatıldığını ve test periyodunun ne olduğunu belirten belgelerin oluşturulması siber saldırılara karşı yapılan çalışmalarda yeterli teknik güvenliğin sağlandığını ispat etmeyi sağlar.

Not: KVKK ‘da penetrasyon testleri için bir yenileme periyodu belirlenmiş değildir, fakat en azından yılda bir veya sistemde önemli bir değişiklik olduğunda penetrasyon testini tekrarlamak yerinde bir uygulama olacaktır.

ISO27001 sertifikasyonları için de penenetrasyon testlerinin ne zaman yapıldığı ve sürecin nasıl yürütüldüğü denetimlerde sorulan maddelerden biridir. Bundan dolayı ISO27001 denetim periyodları içerisinde penetrasyon testlerinin yenilenmesi gerekmektedir.

Herkese siber saldırısız, güvenli güzel günler!