Sızma testleri veya bir diğer adıyla penetrasyon testleri, bir sistemde bulunan açıklık ve zafiyetleri tespit etmek, bu açıklıkların bilgisayar korsanları tarafından suistimal edilmesinin önüne geçmek ve ilgili bilişim sistemini daha güvenli hale getirmek için yapılan güvenlik testleridir.

Sızma testleri yasal bir hizmettir ve sadece uluslararası düzeyde akreditasyona sahip yetkili kişiler tarafından yapılmalıdır. penetrasyon testinde hedef ilgili açıklıktan faydalanarak sisteme zarar vermeyecek şekilde ağa sızmak ve yetkili erişimler elde etmektir.

sızma testi pentest

Neredeyse hergün onlarca açıklığın ortaya çıktığı günümüzde, bilişim dünyasında yer alan firmalar ve şahısların daha aktif davranmaları ve sorumlulukları altında bulunan bilişim varlıkları korumak için sızma testleri (pentest) gerçekleştirmeleri mecburiyet halini almıştır. Bilişim sistemlerinde olması muhtemel açıklıkların uzman ekipler tarafından kontrol edilmesi ve gerekli önlemlerin alınması proaktif güvenlik ilkesinin gereğidir.

Bilişim varlıklarının korunması kapsamında iki tür güvenlik yöntemi vardır.

Birincisi pasif güvenlik (defensive security) uygulamaları diğeri ise proaktif güvenlik (offensive security) uygulamalarıdır. Pentest çalışmaları ikinci kategoride yer almaktadır.

Sızma testleri ile amaçlanan hizmetler aşağıda sıralandığı gibidir.

  1. Firma ve kurumların güvenlik politikalarını test etmek.
  2. Açıklık taramasını, hem iç ağı hemde dış ağı kapsayacak şekilde uygulamak.
  3. Kurum ve firmalara bilişim güvenliği hususunda ayrıntılı rapor sunarak onları ektsra maliyetten kurtarmak
  4. Tespit edilen açıklıklara öncelik atfetmek, bu önceliklere uygun bir şekilde yama uygulamak ve bu konuda bir standart belirlemek.
  5. Kurum ve firmaların hem iç hemde dış ağında bulunan risk ve tehditleri tespit etmek.
  6. Sistem güvenliği için kritik olan güvenlik duvarı, web sunucuları gibi donanımların verimliliğini test etmek.
  7. Yapılması muhtemel saldırıların önüne geçebilmek için ayrıntılı bir yol haritası belirlemek.
  8. Kurum ve firmaların bünyesinde bulunan yazılım, donanım vb. varlıkların sürümlerini ihtiyaç varsa yükseltmek.

Sızma Testleri Hangi Alanlarda Uygulanır?
Sızma testleri çok geniş alanlarda yapılabilmektedir. Sızma testinin uygulanabileceği bazı alanlar ve firma olarak hizmetlerimiz şu şekildedir:

  1. Web uygulama sızma testi hizmeti.
  2. Yerel ağ sızma testi hizmeti.
  3. Mobil cihaz sızma testi hizmeti.
  4. DOS/DDOS sızma testi hizmeti.
  5. Bulut bilişim sızma testi hizmeti.
  6. Kaynak kod analiz hizmeti.
  7. Kablosuz ağ sızma testi hizmeti.
  8. Sosyal mühendislik veya son kullanıcı güvenlik testleri

Sızma Testi Yöntemleri Nelerdir?
Genel olarak sızma testi yöntemlerini üç kategoriye ayırabiliriz.

  1. Blackbox Yöntemi

Bu yöntemde bilişim sisteminden sorumlu olan personele, sızma testi yapılacağına dair herhangi bir bilgilendirmede bulunulmaz. Test gerçekten saldırı yapılıyormuş gibi gerçekleştririlir.

  1. Whitebox Yöntemi

Bu yöntemde bilişim sistemleri sorumlusuna yapılacak işlemler kapsamında bilgi verilir.

  1. Graybox Yöntemi

Aslında bu yöntem yukarıda açıkladığımız iki yöntemin karışımı gibidir. Bilişim sistemleri sorumlusu yapılan/yapılacak sızma testi hizmetleri işlemlerinden tamamen habersiz değildir fakat yapılacak sızma testinin nasıl yapılacağı hangi sistemlerin kullanacağı gibi hususlarda bilgi sahibi değildir.

Sızma Testi Aşamaları Nelerdir?
Sızma testinin aşamaları yani penetrasyon testi metodolojisi, Penetration Testing Execution Standard (PTES) standartlarına göre 7 aşamadan oluşmaktadır. Anlam kaybı ve karmaşası olmaması için bu adımların Türkçe’ye çevirmeden vermenin daha uygun olacağını değerlendirdik.

  1. Pre-engagement Interactions : test aşamasında kullanılacak yöntem ve araçların belirlenmesi, testin kapsamı, süresi ve nelerin test edileceği hususlarını kapsamaktadır.
  2. Intelligence Gathering : kurum veya firma yapısına uygun bir saldırı gerçekleştirmek için kuruma ait bilişim sisteminin girdi noktaları hakkında bilgi toplanmasını kapsamaktadır.
  3. Threat Modeling : kurum veya firmanın bilişim varlıkları tespit edilerek bunun karşısında olması muhtemel saldırı ataklarının ortaya konulmasını ve bu kapsamda bir tehdit modeli oluşturulmasını kapsamaktadır.
  4. Vulnerability Analysis : suistimal edilmesi muhtemel sistem açıklık ve zafiyetlerinin ortaya konulmasını kapsamaktadır.
  5. Exploitation : mevcut güvenliği geçerek sisteme erişim sağlamak ve önemli değere sahip varlıkları belirlemek adımlarını kapsamaktadır.
  6. Post Exploitation : ele geçirilen bilişim cihazının değerinin ortaya konulması ve diğer donanımlara ulaşılması için bu cihazın kullanılması adımlarını kapsamaktadır.
  7. Reporting : yapılan teste ilişkin ayrıntılı bir rapor sunulur. Bu rapor genel olarak mevcut bilgiler, saldırı yöntemi, kullanılan metodlar, açıklık bilgisi ve bu açıklıklara ilişkin risk durumu ve son olarak atılacak adımlara ilişkin önerileri içermektedir.

Neden Sızma Testi Yaptırmalıyım?
Firmalarda görevli bilişim uzmanlarının kafasını kurcalayan hususların başında, bu tür siber güvenlik testleri yaptırmanın gerekli olup olmadığı veya yapılacaksa hangi testin (penetrasyon testi veya zafiyet taraması testi) yapılması gerektiği gelmektedir.

Aslında en ideal durum her iki testinde aynı anda birbiri ile uyum içerisinde yapılması ve çalışmasıdır. Zafiyet tarama testi haftalık, aylık olarak sisteminizin gözden geçirilmesini ve muhtemel açıklıkların tespit edilmesini sağlarken, sızma testi hizmeti ise bu açıklıkların ne derece risk teşkil ettiğini ve nasıl suistimal edilebileceğini ortaya koymaktadır.

Ayrıca pentest işlemleri ile bu açıklıkların nasıl kapatılabileceği hakkında da çalışma ve bilgilendirme yapılır. Bu açıdan sızma testleri çok daha kapsamlı bir işlemdir.

Penetrasyon testi ile özetle;

  1. İstismar edilen güvenlik açıkları,
  2. Erişilen hassas veriler,
  3. Sızma faaliyetinin fark edilmeden sistemde kalma süresi ortaya çıkartılır.

Söz konusu zaafiyetlerin, sızma testi icra edilen bilgi sistemlerinin güvenlikleri ile görevli personel tarafından analiz edilerek güvenlik sıkılaştırmalarının yapılması gerekmektedir.