PENETRASYON TESTİ NEDİR?
Kötü amaçlı olarak bir saldırgan tarafından hedef sistemlerin zaafiyetlerinden faydalanarak zarar verilmesinin önlenmesi amaçlı sistemlerin zaafiyetlerini tespit edebilmek ve önlem alabilmek için yapılan saldırı simülasyonlarıdır. Simülasyonlar gerçek dünya da karşılaşılan saldırıların yöntemleri kullanılarak altyapı ya da sistemlerin herhangi bir saldırıya maruz kalmadan gerekli tüm önlemlerin alınmasını sağlar.
Penetrasyon test süreçleri bir analiz raporu sunar ve bu rapora göre ilgili birimler risk seviyelerine göre önceliklendirerek gerekli önlemleri alır ve testler tekrar edilerek daha önce yapılan testlerde tespit edilen açıkların ya da güvenlik zaafiyetlerinin kapatıldığından emin olunur. Bu süreç devamlılık gerektirir. Burada penetrasyon test hizmetinin alınacağı firma da test sürecinin işleyişi kadar önemlidir. Burada dikkat edilmesi gereken noktalar penetrasyon test sürecini yürütecek ekibin yetkinliği, firmanın referansları, Penetrasyon test metodolojisi, firmanın güvenilirliği, hazırlanacak rapor içeriği ve test sırasında kullanılacak araç ve uygulamaların listesi diyebiliriz.
PENETRASYON TEST SÜREÇLERİ?
Penetrasyon test süreci 7 aşamadan oluşur.
Kapsam Belirleme ;
İlk adım kapsamın belirlenmesidir. Bu adımda ilgili penetrasyon adımlarının hangi sistemlere yada kaynaklara uygulanacağı belirlenir. Bu adıma ilgili güvenlik ve sistem ekipleri dahil olur. Sistem ekipleri tarafından penetrasyon test sürecini yürütecek güvenlik ekiplerine ilgili sistemler hakkında bilgi akışı olur. Güvenlik ekipleri ise ilgili bilgiler doğrultusunda yapılacak penetrasyon test süreci hakkında ilgili birim ve kurumları bilgilendirir.
Network Information Gathering ;
İkinci adım network bilgi toplama adımıdır. Network üzerinde olan tüm cihazlar ve sistemler taranarak cevap alınan sistemlerin hangi portlardan ve protokoller üzerinden hizmet verdiği ya da ip adresi gibi bilgiler toplanır. Ve bu bilgiler bize bir sonraki adımda açıkları tespit etmede kullanılır. Genellikle internal ve external kullanılan güvenlik duvarları,aktif cihazlar, saldırı tespit sistemleri(IDS), web sunucuları, mail sunucuları DNS sunucuları ve dosya sunucuları’nın kullandığı protokoller (CIFS/SMB, FTP, NFS) kapsam dahilinde taranır.
Network Attack and Penetration ;
Network Information Gathering adımında toplanan bilgiler incelendikten sonra uygun toollar kullanılarak exploitation’ a(istismar) başlanır. Bu adımda kullanılan güvenlik yazılımları(AV, EDR vb.) varsa atlatılarak ilgili sistem ve kaynaklara erişim sağlanır.
Local Information Gathering ;
Erişim sağlanan sistemler ve kaynaklar üzerinde tekrar bilgi toplama işlemi yapılır. Bu adımda zaafiyetler, hizmet veren servisler, version bilgileri gibi sisteme ya da uygulamaya özel bilgiler öğrenilir.
Privilege Escalation ;
Local Information Gathering adımında sağlanan bilgilerle hedefler belirlenir ve tespit edilen açıklar kullanılarak exploit yardımıyla ayrıcalık yükseltme işlemi yapılır. Bu işlem sonrasında artık içerde istiyac duyduğumuz bilgileri alabilir, yönlendirme, uzaktan kod yürütme ya da yanal hareketlerle farklı sistemleri hedef alabiliriz.
Clean Up ;
Bu adımda yapılan testler sonrasında yüklenen, oluşturulan dosyalar temizlenir ya da yapılan değişiklikler varsa geri alınır. Test tamamlandıktan sonra kimse güvenlik amacıyla yapılan bir test sonrası bir back door bırakmak istemez. Burada özenli çalışmak çok önemlidir.
Network Report Generation;
Test sonrası var olan ya da oluşabilecek riskler, alınması gereken önlemler gibi bilgilerin kurumla paylaşılması için rapor hazırlanır.
Penetrasyon test rapor içeriği neleri içerir? yönetici içeriği, kapsam ve ip adresleri, testi yapan ekip bilgileri, genel değerlendirme, test metodolojisi, risk derecelendirme, bulgular, teknik bilgiler, detaylı penetrasyon test süreci, test sonuçları, kullanılan araçlar gibi bilgileri içerir.
Penetrasyon Sızma testi yaptırmanın kurumlara faydaları ;
Sistem ya da uygulama açıklarının ortaya çıkarılması ve gerekli önlemlerin alınması, gerekli düzenlemelere uyumluluk(ISO 27001, KVKK, PCI DSS) sağlanması, mali ve prestij kayıplarının önüne geçmek için mutlaka her koşulda tüm şirketlerin yapması ya da yaptırması gereklidir. Böylece yapılan penetrasyon testleri sayesinde sistemler maruz kalınabilecek saldırılara karşı daha dirençli hale gelir. Kullanıcılarda bilgi güvenliği farkındalığının oluşmasını sağlar. Penetrasyon testi sonrasında yapılan iyileştirme çalışmalarıyla uyumluluk süreçlerinde de yapılması gereken çalışmaların daha hızlı ilerlemesi sağlanır.