Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu

Yayınlayan
Karen Scarfone & Murugiah Souppaya & Amanda Cody & Angela Orebaugh
Yayınlanma tarihi
28/2/2022
Okuma süresi
120
Dakika
go back icon
Geri Dön

Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu

Özel Yayın 800-115
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Tavsiyeleri

Karen Scarfone

Murugiah Souppaya

Amanda Cody

Angela Orebaugh

NIST Özel Yayını 800-115Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu    Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Tavsiyeleri Karen Scarfone Murugiah Souppaya Amanda Cody Angela Orebaugh

Bilgisayar Güvenliği

Bilgisayar Güvenliği Bölümü

Bilişim Güvenliği Laboratuvarı

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)

Gaithersburg, MD 20899-8930

Eylül 2008

A.B.D. Ticaret Bakanlığı

Carlos M. Gutierrez, Secretary

Ulusal Standartlar ve Teknoloji Enstitüsü

Dr. Patrick D. Gallagher, Deputy Director

Bilgisayar Sistemleri Teknolojisinde Raporlamalar

Ulusal Standartlar ve Teknoloji Enstitüsü’ndeki (NIST) Bilgi Teknolojisi Laboratuvarı (ITL), ülkenin ölçüm ve standartlar altyapısı için teknik liderlik sağlayarak ABD ekonomisini ve kamu refahını destekler. ITL, bilgi teknolojisinin (BT) gelişimini ve verimli kullanımını ilerletmek için testler, test yöntemleri, referans verileri, kavram uygulamalarının kanıtı ve teknik analizler geliştirir. ITL’nin sorumlulukları arasında, Federal bilgisayar sistemlerindeki hassas sınıflandırılmamış bilgilerin uygun maliyetli güvenliği ve gizliliği için teknik, fiziksel, idari ve yönetim standartlarının ve yönergelerinin geliştirilmesi yer alır. Bu Özel Yayın 800 serisi, ITL’nin bilgisayar güvenliğindeki araştırma, rehberlik ve sosyal yardım çabaları ve endüstri, devlet ve akademik kuruluşlarla işbirliğine dayalı faaliyetleri hakkında bilgi vermektedir.

Ulusal Standartlar ve Teknoloji Enstitüsü , Özel Yayın 800-115
Ulusal Standartlar ve Teknoloji Enstitüsü 800-115, 80 pages (Eylül. 2008)

Deneysel bir prosedürü veya konsepti yeterince açıklamak için bu belgede belirli ticari varlıklar, ekipman veya malzemeler tanımlanabilir. Bu tür bir tanımlama, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından tavsiye veya onay anlamına gelmediği gibi, varlıkların, malzemelerin veya ekipmanın mutlaka bu amaç için mevcut olan en iyi olduğunu ima etme amacı taşımaz.

Teşekkür

Yazarlar, Ulusal Standartlar ve Teknoloji Enstitüsü’nden (NIST) Karen Scarfone ve Murugiah Souppaya ve Booz Allen Hamilton’dan Amanda Cody ve Angela Orebaugh, bu belgenin taslaklarını gözden geçiren ve teknik içeriğine katkıda bulunan meslektaşlarına teşekkür etmek istiyorlar. Yazarlar John Connor, Tim Grance, Blair Heiserman, Arnold Johnson, Richard Kissel, Ron Ross, Matt Scholl ve NIST’den Pat Toth ve Steve Allison, Derrick Dicoi, Daniel Owens, Victoria Thompson, Selena Tonti, Theodore Winograd’a teşekkür ediyor. ve Booz Allen Hamilton’dan Gregg Zepp’e, belgenin geliştirilmesi boyunca verdikleri keskin ve anlayışlı yardımları için teşekkür ederiz. Yazarlar, kamuya açık yorum döneminde, özellikle Marshall Abrams, Karen Quigg ve MITER Corporation’dan diğerleri tarafından sağlanan tüm geri bildirimleri takdir ediyor; SphereCom Enterprises’dan William Mills; ve Mali Yönetim Hizmeti (Hazine Bakanlığı) ve Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) temsilcileri.

Ticari Marka Bilgileri

Tüm isimler, ilgili şirketlerin tescilli ticari markaları veya ticari markalarıdır.


Yönetici Özeti
Bilgi güvenliği değerlendirmesi, değerlendirilmekte olan bir varlığın (örneğin, ana bilgisayar, sistem, ağ, prosedür, kişi – değerlendirme nesnesi olarak bilinir) belirli güvenlik hedeflerini ne kadar etkili bir şekilde karşıladığını belirleme sürecidir. Bunu başarmak için üç tür değerlendirme yöntemi kullanılabilir – test etme, inceleme ve görüşme. Test, gerçek ve beklenen davranışları karşılaştırmak için belirli koşullar altında bir veya daha fazla değerlendirme nesnesini uygulama sürecidir. İnceleme, anlamayı kolaylaştırmak, açıklığa kavuşturmak veya kanıt elde etmek için bir veya daha fazla değerlendirme nesnesini kontrol etme, inceleme, gözden geçirme, gözlemleme, inceleme veya analiz etme sürecidir. Görüşme, anlaşmayı kolaylaştırmak, açıklığa kavuşturmak veya kanıtın yerini belirlemek için bir kuruluş içindeki bireyler veya gruplarla tartışmalar yürütme sürecidir. Değerlendirme sonuçları, güvenlik kontrolünün zaman içindeki etkinliğinin belirlenmesini desteklemek için kullanılır.

Bu belge, bilgi güvenliği değerlendirmeleri yapmanın temel teknik yönlerine yönelik bir kılavuzdur. Bir kuruluşun bir değerlendirmenin parçası olarak kullanabileceği teknik test ve inceleme yöntem ve tekniklerini sunar ve değerlendiricilere, bunların yürütülmesi ve sistemler ve ağlar üzerindeki olası etkileri hakkında içgörüler sunar. Bir değerlendirmenin başarılı olması ve bir sistemin (ve nihayetinde tüm kuruluşun) güvenlik durumu üzerinde olumlu bir etkiye sahip olması için, test ve incelemenin yürütülmesinin dışındaki unsurların teknik süreci desteklemesi gerekir. Sağlam bir planlama süreci, temel neden analizi ve özel raporlama dahil olmak üzere bu faaliyetler için öneriler de bu kılavuzda sunulmaktadır.

Bu belgede sunulan süreçler ve teknik kılavuz, kuruluşların şunları yapmasını sağlar:

  • Değerlendirmenin teknik yönleriyle ilgili bilgi güvenliği değerlendirme politikası, metodolojisi ve bireysel roller ve sorumluluklar geliştirilmesini,
  • Hangi sistemlerin değerlendirileceğini ve değerlendirme yaklaşımını belirleme konusunda rehberlik sağlayarak, lojistik hususları ele alarak, bir değerlendirme planı geliştirerek ve yasal ve politik hususların ele alınmasını sağlayarak teknik bilgi güvenliği değerlendirmesi için doğru bir şekilde plan yapılmasını,
  • Sunulan yöntemleri ve teknikleri kullanarak bir teknik bilgi güvenliği değerlendirmesini güvenli ve etkili bir şekilde gerçekleştirin ve değerlendirme sırasında meydana gelebilecek olaylara yanıt verilmesini,
  • Değerlendirme süreci boyunca teknik verileri (toplama, depolama, iletme ve imha) uygun şekilde işlenmesini,
  • Teknik bulguları, kuruluşun güvenlik duruşunu iyileştirecek risk azaltma eylemlerine dönüştürmek için analiz ve raporlama yapılmasını,

Bu yayında sunulan bilgilerin çeşitli değerlendirme amaçları için kullanılması amaçlanmıştır. Örneğin, bazı değerlendirmeler belirli bir güvenlik kontrolünün (veya kontrollerinin) gereksinimleri karşıladığını doğrulamaya odaklanırken, diğerleri bir sistemin istismar edilebilir güvenlik zayıflıklarını belirleme, doğrulama ve değerlendirme amacına yöneliktir. Bir kuruluşun proaktif bir bilgisayar ağı savunmasını sürdürme yeteneğini artırmak için de değerlendirmeler yapılır. Değerlendirmelerin, güvenlik kontrollerinin uygulanması ve sistem güvenliğinin sürdürülmesinin yerini alması amaçlanmamıştır.

NIST, teknik güvenlik değerlendirmelerini gerçekleştirmek ve teknik güvenlik testlerinin ve incelemelerinin maksimum değer sağladığından emin olmak için kuruluşlara şunları önerir:

Bir bilgi güvenliği değerlendirme politikası oluşturun.

Bu, kuruluşun değerlendirmeleri yürütme gereksinimlerini tanımlar ve uygun olan için hesap verebilirlik sağlar. Değerlendirmelerin bu gerekliliklere uygun olarak yapılmasını sağlamak için bireyler. Bir değerlendirme politikasının ele alması gereken konular, değerlendirmelerin uyması gereken organizasyonel gereksinimleri, roller ve sorumlulukları, yerleşik bir değerlendirme metodolojisine bağlılığı, değerlendirme sıklığını ve dokümantasyon gerekliliklerini içerir.

Tekrarlanabilir ve belgelenmiş bir değerlendirme metodolojisi uygulayın.

Bu, değerlendirmeler için tutarlılık ve yapı sağlar, yeni değerlendirme personelinin geçişini hızlandırır ve değerlendirmelerle ilişkili kaynak kısıtlamalarını ele alır. Böyle bir metodolojinin kullanılması, kuruluşların belirli teknik değerlendirme tekniklerinin getirdiği olası riskleri en aza indirirken değerlendirmelerin değerini en üst düzeye çıkarmasını sağlar. Bu riskler, sistem işlevselliğini etkileme korkusu nedeniyle kuruluşun güvenlik duruşu hakkında yeterli bilgi toplamamadan, uygun güvenlik önlemleri olmadan teknikler uygulayarak sistemi veya ağ kullanılabilirliğini etkilemeye kadar değişebilir. Belirli değerlendirme tekniklerinin neden olduğu riski en aza indiren süreçler arasında, yetenekli değerlendiriciler kullanmak, kapsamlı değerlendirme planları geliştirmek, değerlendirici faaliyetlerini günlüğe kaydetmek, mesai saatleri dışında test yapmak ve üretim sistemlerinin kopyaları (örneğin geliştirme sistemleri) üzerinde testler yapmak yer alır. Kuruluşların her değerlendirme için kabul etmeye istekli oldukları risk düzeyini belirlemeleri ve yaklaşımlarını buna göre uyarlamaları gerekir.

Her bir güvenlik değerlendirmesinin hedeflerini belirleyin ve yaklaşımı buna göre uyarlayın.

Güvenlik değerlendirmelerinin belirli hedefleri, kabul edilebilir risk seviyeleri ve mevcut kaynakları vardır. Hiçbir bireysel teknik, tek başına uygulandığında bir kuruluşun güvenliğinin kapsamlı bir resmini sağlamadığından, kuruluşlar bir teknikler kombinasyonu kullanmalıdır. Bu aynı zamanda kuruluşların riski ve kaynak kullanımını sınırlamasına yardımcı olur.

Bulguları analiz edin ve zayıflıkları gidermek için risk azaltma teknikleri geliştirin.

Güvenlik değerlendirmelerinin nihai değerlerini sağladığından emin olmak için kuruluşlar, bulguların eyleme geçirilebilir azaltma tekniklerine dönüştürülmesini sağlamak için bir değerlendirmenin tamamlanmasının ardından kök neden analizi yapmalıdır. Bu sonuçlar, kuruluşların yalnızca teknik zayıflıkları değil, aynı zamanda kurumsal süreçler ve prosedürlerdeki zayıflıkları da ele almaları gerektiğini gösterebilir.

1. Giriş
1.1 Yetki

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bu belgeyi, 2002 tarihli Federal Bilgi Güvenliği Yönetimi Yasası (FISMA), 107-347 sayılı Kamu Yasası kapsamındaki yasal sorumluluklarını ilerletmek için geliştirmiştir.

NIST, tüm kurum operasyonları ve varlıkları için yeterli bilgi güvenliğini sağlamak için minimum gereksinimler dahil standartlar ve yönergeler geliştirmekten sorumludur; ancak bu tür standartlar ve yönergeler ulusal güvenlik sistemleri için geçerli olmayacaktır. Bu kılavuz, Yönetim ve Bütçe Dairesi (OMB) Genelgesi A-130, Bölüm 8b (3), “Teminat Kuruluşu Bilgi Sistemlerinin” gereklilikleri ile tutarlıdır ve A-130, Ek IV: Anahtar Bölümlerin Analizi’nde analiz edilmiştir. Tamamlayıcı bilgiler A-130, Ek III’te verilmektedir.

Bu kılavuz, federal kurumlar tarafından kullanılmak üzere hazırlanmıştır. Sivil toplum kuruluşları tarafından gönüllülük esasına göre kullanılabilir ve atıf istenmesine rağmen telif hakkına tabi değildir.

Bu belgedeki hiçbir şey, kanuni yetki altında Ticaret Bakanı tarafından federal kurumlar için zorunlu ve bağlayıcı hale getirilen standartlar ve yönergelerle çelişecek şekilde alınmamalıdır; ne de bu kılavuzlar, Ticaret Bakanı, OMB Direktörü veya başka herhangi bir federal yetkilinin mevcut otoritelerini değiştirecek veya onların yerine geçecek şekilde yorumlanmamalıdır.

1.2 Amaç ve Kapsam

Bu belgenin amacı, kuruluşlara teknik bilgi güvenliği testi ve değerlendirmelerini planlama ve yürütme, bulguları analiz etme ve azaltma stratejileri geliştirme konusunda yönergeler sağlamaktır. Güvenlik testi ve değerlendirme süreçleri ve prosedürleri ile ilgili teknik bilgilerin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sağlar; bu, bir sistem veya ağdaki güvenlik açıklarının bulunması ve bir politika veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlarla kullanılabilir. Bu kılavuz, kapsamlı bir bilgi güvenliği testi veya değerlendirme programı sunmayı amaçlamaz, bunun yerine teknik güvenlik testi ve değerlendirmesinin temel unsurlarına, belirli tekniklere, bunların faydalarına ve sınırlamalarına ve kullanımları için tavsiyelere vurgu yaparak genel bir bakış sunar.

Bu belge, NIST Özel Yayını 800-42, Ağ Güvenliği Testi Yönergesinin yerine geçer.

1.3 Okuyucu

Bu kılavuz, bilgisayar güvenlik personeli ve program yöneticileri, sistem ve ağ yöneticileri ve sistemlerin ve ağ altyapılarının hazırlanmasının, çalıştırılmasının ve güvenliğinin sağlanmasının teknik yönlerinden sorumlu diğer teknik personel tarafından kullanılmak üzere tasarlanmıştır. Yöneticiler ayrıca sunulan bilgileri, güvenlik testleri ve değerlendirmeleriyle ilişkili teknik karar verme süreçlerini kolaylaştırmak için de kullanabilir. Bu belgedeki materyaller teknik yönelimlidir ve okuyucuların sistem ve ağ güvenliği konusunda en azından temel bilgilere sahip olduğunu varsayar.

1.4 Döküman Yapısı

Bu belgenin geri kalanı yedi ana bölüm halinde düzenlenmiştir:

  • Bölüm 2, politikalar, roller ve sorumluluklar, metodolojiler ve teknikler dahil olmak üzere bilgi güvenliği değerlendirmelerine genel bir bakış sunar.
  • Bölüm 3, belge incelemesi, günlük incelemesi, ağ koklama ve dosya bütünlüğü denetimi dahil olmak üzere çeşitli teknik inceleme tekniklerinin ayrıntılı bir açıklamasını sağlar.
  • Bölüm 4, hedefleri belirlemeye ve bunları olası güvenlik açıklarına karşı analiz etmeye yönelik çeşitli teknikleri açıklar. Bu tekniklerin örnekleri arasında ağ keşfi ve güvenlik açığı taraması bulunur.
  • Bölüm 5, parola kırma ve sızma testi gibi güvenlik açıklarının varlığını doğrulamak için yaygın olarak kullanılan teknikleri açıklar.
  • Bölüm 6, bir güvenlik değerlendirmesinin planlanması için bir yaklaşım ve süreç sunar.
  • Bölüm 7, koordinasyon, değerlendirmenin kendisi, analiz ve veri işleme dahil olmak üzere güvenlik değerlendirmelerinin yürütülmesinde kilit rol oynayan faktörleri tartışır.
  • Bölüm 8, değerlendirme bulgularını raporlamak için bir yaklaşım sunmakta ve iyileştirme faaliyetlerine genel bir bakış sunmaktadır.

Bu kılavuz ayrıca aşağıdaki ekleri içerir:

  • Ek A, kullanıcının bir bilgisayarı tam olarak çalışan bir işletim sistemi ve test araçlarını içeren bir CD’den başlatmasına olanak tanıyan iki canlı işletim sistemi (OS) CD dağıtımını açıklar.
  • Ek B, Katılım Kuralları (ROE) oluşturmak için bir şablon sağlar.
  • Ek C kısaca uygulama güvenlik değerlendirmesini tartışır.
  • Ek D, uzaktan erişim testinin gerçekleştirilmesine yönelik öneriler içerir.
  • Ek E, güvenlik değerlendirme sürecini kolaylaştırabilecek kaynakların bir listesini sunar.
  • Ek F, bu belgede kullanılan terimler sözlüğünü içerir.
  • Ek G, kısaltmaların ve kısaltmaların bir listesini sağlar.
2. Güvenlik Testi ve İncelemesine Genel Bakış

Bilgi güvenliği değerlendirmesi, değerlendirilmekte olan bir varlığın (örneğin, ana bilgisayar, sistem, ağ, prosedür, kişi – değerlendirme nesnesi olarak bilinir) belirli güvenlik hedeflerini ne kadar etkili bir şekilde karşıladığını belirleme sürecidir. Bunu başarmak için üç tür değerlendirme yöntemi kullanılabilir – test etme, inceleme ve görüşme. Test, gerçek ve beklenen davranışları karşılaştırmak için belirli koşullar altında bir veya daha fazla değerlendirme nesnesini uygulama sürecidir. İnceleme, anlamayı kolaylaştırmak, açıklığa kavuşturmak veya kanıt elde etmek için bir veya daha fazla değerlendirme nesnesini kontrol etme, inceleme, gözden geçirme, gözlemleme, inceleme veya analiz etme sürecidir. Görüşme, anlaşmayı kolaylaştırmak, açıklığa kavuşturmak veya kanıtın yerini belirlemek için bir kuruluş içindeki bireyler veya gruplarla tartışmalar yürütme sürecidir. Değerlendirme sonuçları, güvenlik kontrolünün zaman içindeki etkinliğinin belirlenmesini desteklemek için kullanılır.

Bu yayın, teknik güvenlik açıklarını belirlemek, doğrulamak ve değerlendirmek için kullanılabilecek teknik test ve inceleme tekniklerini ele alır ve kuruluşların sistemlerinin ve ağlarının güvenlik durumunu anlamalarına ve iyileştirmelerine yardımcı olur. FISMA1 ve diğer düzenlemeler tarafından güvenlik testi ve muayenesi zorunludur. Güvenlik kontrollerinin uygulanmasının ve sistem güvenliğinin sürdürülmesinin yerini alması amaçlanmamıştır, ancak kuruluşların sistemlerinin uygun şekilde güvenli hale getirildiğini onaylamalarına ve karşılanmayan tüm kuruluş güvenlik gereksinimlerini ve ele alınması gereken diğer güvenlik zayıflıklarını belirlemelerine yardımcı olmak içindir.

Bu bölüm, bilgi güvenliği değerlendirme metodolojilerine ve teknik test ve inceleme tekniklerine genel bir bakış sağlar.

2.1 Bilgi Güvenliği Değerlendirme Metodolojisi

Tekrarlanabilir ve belgelenmiş bir güvenlik değerlendirme metodolojisi şunları yapabilmesi açısından faydalıdır:

  • Test risklerini en aza indirebilecek güvenlik testi için tutarlılık ve yapı sağlanması.
  • Yeni değerlendirme personelinin geçişini hızlandırılması.
  • Güvenlik değerlendirmeleriyle ilişkili kaynak kısıtlamalarını ele alınması.

Bilgi güvenliği değerlendirmesi zaman, personel, donanım ve yazılım gibi kaynaklar gerektirdiğinden, kaynak kullanılabilirliği genellikle güvenlik değerlendirmelerinin türü ve sıklığında sınırlayıcı bir faktördür. Kuruluşun gerçekleştireceği güvenlik testi ve inceleme türlerini değerlendirmek, uygun bir metodoloji geliştirmek, gerekli kaynakları belirlemek ve değerlendirme sürecini beklenen gereksinimleri desteklemek için yapılandırmak kaynak zorluğunu azaltabilir. Bu, kuruluşa eğitimli personel ve standartlaştırılmış test platformları gibi önceden oluşturulmuş kaynakları yeniden kullanma yeteneği verir; değerlendirmeyi yapmak için gereken süreyi ve test ekipmanı ve yazılımı satın alma ihtiyacını azaltır; ve genel değerlendirme maliyetlerini düşürür.

Aşamalı bir bilgi güvenliği değerlendirme metodolojisi bir dizi avantaj sunar. Yapının takibi kolaydır ve personel geçişi için doğal kırılma noktaları sağlar. Metodolojisi asgari olarak aşağıdaki aşamaları içermelidir:

  1. 1 Bölüm 3544, “bilgi güvenliği politikalarının, prosedürlerinin ve uygulamalarının etkinliğinin riske bağlı bir sıklıkta, ancak yılda en az 1 kez olmamak üzere, periyodik olarak test edilmesini ve değerlendirilmesini gerektirir.” FISMA şu adreste mevcuttur: http://csrc.nist.gov/drivers/documents/FISMA-final.pdf.
Planlama

Başarılı bir güvenlik değerlendirmesi için kritik olan planlama aşaması, değerlendirilecek varlıklar, varlıklara yönelik çıkar tehditleri ve bu tehditleri azaltmak için kullanılacak güvenlik kontrolleri gibi değerlendirmenin yürütülmesi için gerekli bilgileri toplamak için kullanılır. değerlendirme yaklaşımını geliştirin. Bir güvenlik değerlendirmesi, hedefleri ve hedefleri, kapsamı, gereksinimleri, ekip rolleri ve sorumluluklarını, sınırlamaları, başarı faktörlerini, varsayımları, kaynakları, zaman çizelgesini ve teslim edilecekleri ele alan bir proje yönetim planıyla birlikte başka bir proje olarak ele alınmalıdır. Bu kılavuzun 6. Bölümü planlamayı kapsar.

Yürütme

Yürütme aşamasının birincil hedefleri, güvenlik açıklarını belirlemek ve uygun olduğunda bunları doğrulamaktır. Bu aşama, amaçlanan değerlendirme yöntemi ve tekniği ile ilgili faaliyetleri ele almalıdır. Bu aşama için belirli faaliyetler, değerlendirme türüne göre farklılık gösterse de, bu aşamanın tamamlanmasının ardından, değerlendiriciler sistem, ağ ve organizasyonel süreç açıklarını belirleyecektir. Bu aşama Bölüm 7’de daha ayrıntılı olarak tartışılmaktadır.

Yürütme Sonrası Aksiyonlar

Yürütme sonrası aşama, temel nedenleri belirlemek, azaltma önerileri oluşturmak ve nihai bir rapor geliştirmek için tanımlanan güvenlik açıklarını analiz etmeye odaklanır. Bu kılavuzun 8. Bölümü, raporlama ve azaltmaya yöneliktir.

Farklı türlerde bilgi güvenliği değerlendirmeleri yapmak için kabul edilmiş birkaç metodoloji mevcuttur. Bu metodolojilerin birçoğuna referanslar Ek E.2’de bulunmaktadır. Örneğin, NIST bir metodoloji oluşturmuştur – Özel Yayın (SP) 800-53A’da belgelenmiştir., Guide for Assessing the Security Controls in Federal Information Systems— NIST SP 800-53’te özetlenen güvenlik kontrollerinin etkinliğini değerlendirmek için öneriler sunar.3 Yaygın olarak kullanılan diğer bir değerlendirme metodolojisi, Open Source Security Testing Methodology Manual (OSSTMM). 4 Değerlendirme yapmak için çok sayıda neden olduğundan, bir kuruluş birden fazla metodoloji kullanmak isteyebilir. Bu yayın, birçok değerlendirme metodolojisi için kullanılabilen ve birçok değerlendirme amacıyla kullanılabilen teknik test ve inceleme teknikleri için öneriler sunar.

2.2 Teknik Değerlendirme Yöntemleri

Sistemlerin ve ağların güvenlik durumunu değerlendirmek için kullanılabilecek düzinelerce teknik güvenlik testi ve inceleme tekniği mevcuttur. Bu belgenin bakış açısından en sık kullanılan teknikler, bu kılavuzun ilerleyen bölümlerinde daha ayrıntılı olarak tartışılacak ve aşağıdaki üç kategoriye ayrılmıştır:

İnceleme Teknikleri

These are examination techniques used to evaluate systems, applications, networks, policies, and procedures to discover vulnerabilities, and are generally conducted manually. They include documentation, log, ruleset, and system configuration review; network sniffing; and file integrity checking. Section 3 provides additional information on review techniques.

Hedef Tanımlama ve Analiz Teknikleri

Bu test teknikleri sistemleri, bağlantı noktalarını, hizmetleri ve olası güvenlik açıklarını belirleyebilir ve manuel olarak gerçekleştirilebilir, ancak genellikle otomatik araçlar kullanılarak gerçekleştirilir.

2. NIST does not endorse one methodology over another; the intent is to provide organizations with options that will allow them to make informed decisions to adopt an existing methodology or combine several to develop a unique methodology that suits the organization.

3. NIST SP 800-53A discusses the framework for development of assessment procedures, describes the process of assessing security controls, and offers assessment procedures for each control.

4. NIST SP 800-53A was developed to be used in conjunction with NIST SP 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems. NIST SPs 800-53, 800-53A, and 800-37 are available at http://csrc.nist.gov/publications/PubsSPs.html. More information on OSSTMM is available at http://www.isecom.org/osstmm/.

Ağ keşfi, ağ bağlantı noktası ve hizmeti içerirler.

Tanımlama, güvenlik açığı taraması, kablosuz tarama ve uygulama güvenliği incelemesi.

Bu tekniklerle ilgili daha fazla analiz Bölüm 4’te sunulmuştur.

Hedef Güvenlik Açığı Doğrulama Teknikleri

Bu test teknikleri, güvenlik açıklarının varlığını doğrular ve kullanılan teknik ve test ekibinin becerisine bağlı olarak manuel olarak veya otomatik araçlar kullanılarak gerçekleştirilebilir. Hedef güvenlik açığı doğrulama teknikleri arasında parola kırma, sızma testi, sosyal mühendislik ve uygulama güvenliği testleri bulunur. Bu teknikler hakkında daha fazla bilgi Bölüm 5’te bulunmaktadır.

Tek bir teknik, bir sistemin veya ağın güvenliğinin tam bir resmini sağlayamayacağından, kuruluşlar, sağlam güvenlik değerlendirmeleri sağlamak için uygun teknikleri birleştirmelidir. Örneğin, sızma testi genellikle, gelecekteki sızma hedefi olabilecek ana bilgisayarları ve hizmetleri belirlemek için hem ağ bağlantı noktası / hizmet tanımlamasına hem de güvenlik açığı taramasına dayanır. Ayrıca, yamaların düzgün bir şekilde uygulanıp uygulanmadığını belirlemek gibi bir değerlendirme gereksinimini karşılamak için birden fazla teknik yol mevcuttur. Bu yayın, bu farklı teknik tekniklerin nasıl gerçekleştirilebileceğini açıklamaya odaklanır ve hangi tekniklerin hangi koşullar için kullanılması gerektiğini belirtmez – böylece kuruluşlara gereksinimlerini en iyi karşılayan teknikleri seçme esnekliği sağlar.

Bu yayında açıklanan teknik tekniklere ek olarak, teknik tekniklere ek olarak veya bunların yerine kullanılabilecek birçok teknik olmayan teknik vardır. Bir örnek, tipik olarak belirli ana bilgisayarlara yetkisiz erişim elde etmek için kilitleri, rozet okuyucularını ve diğer fiziksel güvenlik kontrollerini atlatmaya çalışarak fiziksel güvenlik açıklarının varlığını doğrulayan fiziksel güvenlik testidir. Teknik olmayan bir tekniğin başka bir örneği, manuel varlık tanımlamadır. Bir kuruluş, varlık tanımlaması için teknik tekniklere güvenmek yerine, değerlenecek varlıkları varlık envanterleri, tesislerin fiziksel gözden geçirmeleri ve diğer teknik olmayan yollarla belirlemeyi seçebilir. Teknik olmayan tekniklerle ilgili ayrıntılar bu yayının kapsamı dışındadır, ancak teknik olmayan tekniklerin değerinin farkına varmak ve teknik meslektaşlarına göre kullanımlarının ne zaman daha uygun olabileceğinin dikkate alınması önemlidir.

2.3 Test ve Teknikleri Karşılaştırma

İncelemeler öncelikle politikalar, prosedürler, güvenlik planları, güvenlik gereksinimleri, standart işletim prosedürleri, mimari diyagramlar, mühendislik dokümantasyonu, varlık envanterleri, sistem konfigürasyonları, kural setleri ve sistem günlükleri gibi belgelerin incelenmesini içerir. Bir sistemin düzgün bir şekilde belgelendirilip belgelendirilmediğini belirlemek ve yalnızca belgelerle ulaşılabilen güvenlik yönleri hakkında fikir edinmek için yapılırlar. Bu dokümantasyon, sistemlerin ve ağın amaçlanan tasarımını, kurulumunu, konfigürasyonunu, işletimini ve bakımını tanımlar ve gözden geçirilmesi ve çapraz referans verilmesi, uygunluk ve tutarlılık sağlar. Örneğin, bir ortamın güvenlik gereksinimleri, sistem güvenlik planları ve standart işletim prosedürleri gibi dokümantasyonu yönlendirmelidir; bu nedenle, değerlendiriciler tüm planların, prosedürlerin, mimarilerin ve yapılandırmaların belirtilen güvenlik gereksinimleri ve geçerli politikalarla uyumlu olmasını sağlamalıdır. Diğer bir örnek, anlık mesajlaşma kullanımı, peer-to-peer (P2P) dosya paylaşımı ve diğer yasaklanmış etkinlikler gibi kuruluşun internet kullanımıyla ilgili güvenlik politikalarına uygunluğunu sağlamak için bir güvenlik duvarının kural kümesini incelemektir.

İncelemelerin, gerekli belgelere, günlüklere veya kural setlerine erişim dışında, tipik olarak hedef ortamdaki gerçek sistemler veya ağlar üzerinde hiçbir etkisi yoktur.5

5. Ağları potansiyel olarak etkileyebilecek bir pasif test tekniği, bir algılayıcının ağdaki bir hub’a, taramaya veya karşılaştırmaya bağlantı noktasına bağlanmasını içeren ağ sniff işlemidir. Bazı durumlarda, bağlantı işlemi, işlemleri kesintiye uğratabilecek bir ağ cihazının yeniden yapılandırılmasını gerektirir.

Ancak, sistem yapılandırma dosyaları veya günlükleri, yönlendirici veya güvenlik duvarı gibi belirli bir sistemden alınacaksa, sadece sistem yöneticileri ve benzer şekilde eğitilmiş kişiler, ayarların yanlışlıkla değiştirilmemesini veya silinmemesini sağlamak için bu işi üstlenmelidir.

Test, güvenlik açıklarını belirlemek için sistemler ve ağlarla uygulamalı çalışmayı içerir ve tüm kuruluş genelinde veya seçilen sistemler üzerinde yürütülebilir. Tarama ve sızma tekniklerinin kullanımı, potansiyel güvenlik açıkları hakkında değerli bilgiler sağlayabilir ve bir düşman veya davetsiz misafirin bunları istismar etme olasılığını tahmin edebilir. Test ayrıca kuruluşların yama yönetimi, parola politikası ve yapılandırma yönetimi gibi alanlardaki uyumluluk düzeylerini ölçmesine olanak tanır.

Test, bir kuruluşun güvenlik duruşunun sınavlarla elde edilenden daha doğru bir resmini sağlasa da, daha müdahalecidir ve hedef ortamdaki sistemleri veya ağları etkileyebilir. Potansiyel etki seviyesi, kullanılan belirli test teknikleri türlerine bağlıdır ve bunlar, hedef sistemler ve ağlarla çeşitli şekillerde etkileşime girebilir (örneğin, açık ve kapalı bağlantı noktalarını belirlemek için normal ağ paketleri göndermek veya güvenlik açıklarını test etmek için özel hazırlanmış paketler göndermek gibi) . Bir test veya test uzmanı bir sistem veya ağ ile doğrudan etkileşime girdiğinde, beklenmedik sistem durmaları ve diğer hizmet reddi koşulları potansiyeli mevcuttur. Kuruluşlar, hangi tekniklerin kullanılacağına karar verirken kabul edilebilir müdahalecilik düzeylerini belirlemelidir. Hizmet reddi koşulları ve diğer aksaklıklar yarattığı bilinen testleri hariç tutmak, bu olumsuz etkilerin azaltılmasına yardımcı olabilir.

Test, bir kuruluşun güvenlik duruşunun kapsamlı bir değerlendirmesini sağlamaz ve özellikle zaman alanında kaynak sınırlamaları nedeniyle genellikle dar bir kapsama sahiptir. Öte yandan, kötü niyetli saldırganlar, bir sistemden veya ağdan yararlanmak ve sızmak için ihtiyaç duydukları her zamanı alabilir. Ayrıca, kuruluşlar sistemleri veya ağları etkileyen test tekniklerini kullanmaktan kaçınma eğilimindeyken, saldırganlar bu kısıtlamaya bağlı değildir ve gerekli gördükleri teknikleri kullanırlar. Sonuç olarak, güvenlik politikası ve yapılandırmayla ilgili zayıflıkları belirlemek için test etme olasılığı, incelemelerden daha düşüktür. Çoğu durumda, test ve inceleme tekniklerini birleştirmek, daha doğru bir güvenlik görünümü sağlayabilir.

2.4 Bakış Açısı Testi

Testler çeşitli bakış açılarından gerçekleştirilebilir – örneğin, dışarıdan bir saldırgan veya içeriden kötü niyetli biri bir sisteme ne kadar kolay bir şekilde başarıyla saldırabilir? Bu kılavuzun 2.4.1 Bölümü, harici ve dahili bakış açılarından gerçekleştirilen testleri karşılaştırmaktadır. Bölüm 2.4.2 bakış açılarının başka bir yönünü, yani değerlendiricilerin hedef veya hedef çevre hakkında sahip oldukları önceki bilgileri tartışır.

2.4.1 İç ve Dış Testler

Harici güvenlik testleri, kuruluşun güvenlik çevresinin dışından yapılır. Bu, harici bir saldırgan tarafından suistimal edilebilecek güvenlik açıklarını ortaya çıkarmak amacıyla ortamın güvenlik duruşunu güvenlik çevresinin dışında – genellikle İnternet’ten görüldüğü gibi – görüntüleme yeteneği sunar.

Dış test genellikle genel kayıt verilerini, Etki Alanı Adı Sistemi (DNS) sunucu bilgilerini, haber grubu gönderilerini ve bilgi toplamak için herkese açık diğer bilgileri (ör. Sistem adları, İnternet Protokolü [IP] adresleri, işletim sistemleri) araştıran keşif teknikleriyle başlar. değerlendiricinin güvenlik açıklarını belirlemesine yardımcı olabilecek temas noktaları). Daha sonra, harici ana bilgisayarları ve dinleme hizmetlerini belirlemek için ağ keşfi ve tarama tekniklerini kullanarak numaralandırma başlar. Güvenlik duvarları, yönlendiriciler ve erişim kontrol listeleri gibi çevre savunmaları genellikle dahili ağa izin verilen trafik türlerini sınırladığından, değerlendiriciler genellikle bu savunmalardan kaçan teknikler kullanır – tıpkı harici saldırganların yapacağı gibi. İzin verilen protokollere bağlı olarak, ilk saldırılar genellikle Dosya Aktarım Protokolü (FTP), Köprü Metni Aktarım Protokolü (HTTP), Basit Posta Aktarım Protokolü (SMTP) ve Postane Protokolü gibi yaygın olarak kullanılan ve izin verilen uygulama protokollerine odaklanır.

(POP). Dışarıdan erişilebilen sunucular, dahili sunuculara ve özel bilgilere erişime izin verebilecek güvenlik açıklarına karşı test edilir. Dış güvenlik testi ayrıca, kablosuz erişim noktaları, modemler ve dahili sunuculara portallar gibi erişim yöntemi güvenlik açıklarını keşfetmeye odaklanır.

Dahili güvenlik testi için, değerlendiriciler dahili ağdan çalışır ve güvenilir bir içeriden veya çevre savunmasını aşan bir saldırganın kimliğini varsayar. Bu tür testler, kötüye kullanılabilecek güvenlik açıklarını ortaya çıkarabilir ve bu tür bir saldırganın neden olabileceği olası hasarı gösterir. İç güvenlik testi ayrıca uygulama ve hizmet yapılandırması, kimlik doğrulama, erişim kontrolü ve sistem sağlamlaştırma dahil olmak üzere sistem düzeyinde güvenlik ve yapılandırmaya odaklanır.

Dahili testi gerçekleştiren değerlendiricilere, genellikle genel kullanıcılar olarak ağa bir miktar erişim izni verilir ve benzer ayrıcalıklara sahip kullanıcıların sahip olacağı bilgiler sağlanır. Bu geçici erişim düzeyi, testin hedeflerine bağlıdır ve bir sistem veya ağ yöneticisinin ayrıcalıklarına kadar çıkabilir. Değerlendiriciler, verildikleri erişim düzeyinden çalışarak, ayrıcalık yükseltme yoluyla ağa ve sistemlere ek erişim elde etmeye çalışırlar – yani, kullanıcı düzeyinde ayrıcalıkları yönetici düzeyinde ayrıcalıklara yükseltmek veya sistem yöneticisi ayrıcalıklarını etki alanı yöneticisi ayrıcalıklarına yükseltmek.

Dahili test, harici testler kadar sınırlı değildir, çünkü sınırlamalar oluşturan dahili güvenlik duvarları, yönlendiriciler ve anahtarlar olsa bile, çevre savunmalarının arkasında gerçekleşir. Ağ sniffing gibi inceleme teknikleri, test tekniklerine ek olarak kullanılabilir.

Hem dahili hem de harici test yapılacaksa, genellikle önce harici test yapılır. Bu, özellikle aynı değerlendiriciler her iki tür testi de gerçekleştireceklerse özellikle yararlıdır, çünkü bu, onları rakipler için mevcut olmayacak ağ mimarisi veya sistem yapılandırması hakkında içeriden bilgi edinmekten alıkoymaktadır – bu, testin geçerliliğini azaltacak bir avantajdır.

2.4.2 Açık ve Gizli Testler

Beyaz şapka testi olarak da bilinen açık güvenlik testi, kuruluşun BT personelinin bilgisi ve onayı ile harici ve / veya dahili testlerin gerçekleştirilmesini içerir ve ağın veya sistem güvenliği duruşunun kapsamlı bir şekilde değerlendirilmesini sağlar. BT personeli testin tamamen farkında olduğu ve teste dahil olduğu için, testin etkisini sınırlandırmak için rehberlik sağlayabilir. Test ayrıca, uygulanan güvenlik önlemlerini değerlendirmek ve potansiyel olarak atlatmak için değerlendiriciler tarafından kullanılan faaliyetleri ve yöntemleri gözlemleyen personel ile bir eğitim fırsatı sağlayabilir. Bu, BT personeli tarafından uygulanan veya sürdürülen güvenlik gereksinimlerine bağlam sağlar ve ayrıca BT personeline testlerin nasıl yapılacağını öğretmeye yardımcı olabilir.

Siyah şapka testi olarak da bilinen gizli güvenlik testi, kuruluşun BT personelinin bilgisi olmadan, ancak üst yönetimin tam bilgisi ve izni ile testler yaparak rakip bir yaklaşım benimser. Bazı kuruluşlar, hedef kuruluşun, öncelikle bir saldırının gerçekten devam ettiğini doğrulamadan (örneğin, tespit edilen etkinliğin bir testten kaynaklanmadığını) doğrulamadan saldırı ile ilişkili yanıt önlemlerini başlatmamasını sağlamak için güvenilir bir üçüncü taraf atar. Bu tür durumlarda, güvenilir üçüncü taraf, değerlendiriciler, yönetim, BT personeli ve güvenlik personeli için faaliyetlere aracılık eden ve iletişimi kolaylaştıran bir aracı sağlar. Bu tür testler, teknik güvenlik kontrollerini test etmek, algılanan güvenlik olaylarına BT personelinin tepkisi ve kuruluşun güvenlik politikası hakkında personel bilgisi ve uygulaması için yararlıdır. Gizli test, uyarı ile veya uyarı olmaksızın yapılabilir.

Gizli testin amacı, bir düşmanın neden olabileceği hasarı veya etkiyi incelemektir – güvenlik açıklarını belirlemeye odaklanmaz. Bu tür testler, her güvenlik kontrolünü test etmez, her bir güvenlik açığını belirlemez veya bir organizasyon içindeki tüm sistemleri değerlendirmez.

Gizli test, organizasyonu düşmanca bir bakış açısıyla inceler ve normalde ağ erişimi elde etmek için en temel güvenlik açıklarını belirler ve kullanır. Bir kuruluşun amacı belirli bir düşmanı yansıtmaksa, bu tür testler, tehdit verilerini elde etmek ve modellemek gibi özel hususlar gerektirir. Ortaya çıkan senaryolar, olası istismar yöntemlerine, riske ve bir saldırının etkisine ilişkin genel bir stratejik görünüm sağlar. Gizli test, genellikle belirli bir erişim düzeyi elde edildiğinde veya testte bir sonraki adım olarak belirli bir hasar türü elde edilebilir olduğunda testi durdurmak gibi tanımlanmış sınırlara sahiptir. Bu tür sınırlara sahip olmak, hasarın meydana gelebileceğini gösterirken hasarı önler.

Birçok güvenlik açığını belirleyememenin yanı sıra, gizli testler genellikle zaman alıcıdır ve gizli gereksinimleri nedeniyle maliyetlidir. Gizli bir ortamda çalışmak için, bir test ekibinin taramalarını ve diğer eylemlerini hedef kuruluşun güvenlik personelinin “radarı altında” kalmak için yavaşlatması gerekecektir. Test kurum içinde yapılırken, eğitim de zaman ve bütçe açısından dikkate alınmalıdır. Ek olarak, bir kuruluş, tarama ve güvenlik açığı değerlendirmeleri gibi düzenli etkinlikleri gerçekleştirmek için eğitilmiş personele sahip olabilir, ancak sızma veya uygulama güvenliği testi gibi özel teknikler içermeyebilir. Açık testler daha ucuzdur, gizli testlere göre daha az risk taşır ve daha sık kullanılır – ancak gizli test, hedef kuruluşun günlük güvenliğinin daha iyi bir göstergesini sağlar çünkü sistem yöneticilerinin farkındalığı artmaz.

3. Bakış Teknikleri

Gözden geçirme teknikleri, güvenlik açıklarını keşfetmek için sistemleri, uygulamaları, ağları, ilkeleri ve prosedürleri pasif olarak inceleyin. 6 Ayrıca diğer değerlendirme tekniklerini kolaylaştırmak ve optimize etmek için bilgi toplarlar. İnceleme teknikleri pasif olduğundan, sistemler ve ağlar için minimum risk oluştururlar. Bu bölüm birkaç genel gözden geçirme tekniğini kapsar – dokümantasyon, günlük, kural seti ve sistem konfigürasyonu incelemesi; ağ koklama; ve dosya bütünlüğü denetimi.

3.1 Belgelerin İncelenmesi

Dokümantasyon incelemesi, politikaların ve prosedürlerin teknik yönlerinin güncel ve kapsamlı olup olmadığını belirler. Bu belgeler, bir kuruluşun güvenlik duruşunun temelini oluşturur, ancak genellikle teknik değerlendirmeler sırasında göz ardı edilir. Kuruluş içindeki güvenlik grupları, kapsamlı bir gözden geçirme sağlamak için değerlendiricilere uygun dokümantasyon sağlamalıdır. Teknik doğruluk ve eksiksizlik açısından incelenecek belgeler arasında güvenlik politikaları, mimariler ve gereksinimler; standart çalışma prosedürleri; sistem güvenlik planları ve yetkilendirme anlaşmaları; sistem ara bağlantıları için mutabakat ve anlaşma muhtırası; ve olay müdahale planları.

Dokümantasyon incelemesi, eksik veya yanlış uygulanan güvenlik kontrollerine yol açabilecek boşlukları ve zayıflıkları keşfedebilir. Değerlendiriciler genellikle kuruluşun belgelerinin FISMA gibi standartlara ve düzenlemelere uygun olduğunu doğrular ve eksik veya eski olan politikaları arar. Yaygın dokümantasyon zayıflıkları, artık kullanılmayan işletim sistemi güvenlik prosedürlerini veya protokollerini ve yeni bir işletim sistemi ve protokollerini içermemeyi içerir. Dokümantasyon incelemesi, güvenlik kontrollerinin doğru bir şekilde uygulandığını garanti etmez – sadece yön ve kılavuzun güvenlik altyapısını desteklemek için mevcut olduğunu garanti eder.

Dokümantasyon incelemesinin sonuçları, diğer test ve inceleme tekniklerinde ince ayar yapmak için kullanılabilir. Örneğin, bir parola yönetimi ilkesinin minimum parola uzunluğu ve karmaşıklığı için belirli gereksinimleri varsa, bu bilgiler daha verimli performans için parola kırma araçlarını yapılandırmak için kullanılabilir.

3.2 Log İncelenmesi

Günlük incelemesi, güvenlik kontrollerinin doğru bilgileri günlüğe kaydedip kaydetmediğini ve kuruluşun kendi günlük yönetimi politikalarına uyup uymadığını belirler.7 Geçmişe dönük bilgi kaynağı olarak, sistemin yerleşik politikalara uygun olarak çalıştığını doğrulamaya yardımcı olmak için denetim günlükleri kullanılabilir. . Örneğin, günlüğe kaydetme ilkesi kritik sunuculara yapılan tüm kimlik doğrulama girişimlerinin günlüğe kaydedilmesi gerektiğini belirtirse, günlük incelemesi bu bilgilerin toplanıp toplanmadığını belirler ve uygun ayrıntı düzeyini gösterir. Günlük incelemesi, yanlış yapılandırılmış hizmetler ve güvenlik denetimleri, yetkisiz erişimler ve izinsiz giriş girişimleri gibi sorunları da ortaya çıkarabilir. Örneğin, bir güvenlik duvarının arkasına bir saldırı tespit sistemi (IDS) sensörü yerleştirilirse, günlükleri, güvenlik duvarının ağa izin verdiği iletişimleri incelemek için kullanılabilir. Sensör engellenmesi gereken etkinlikleri kaydederse, güvenlik duvarının güvenli bir şekilde yapılandırılmadığını gösterir.

6. Bu yayın, incelemeleri kesinlikle değerlendirme açısından tartışmaktadır. İncelemeler ayrıca, işletim sorunlarını, yanlış güvenlik yapılandırmalarını, kötü niyetli etkinlikleri ve diğer güvenlik olaylarını tanımlamak için düzenli sistem izleme ve bakımının bir parçası olarak periyodik olarak yapılmalıdır. Kuruluşlar, değerlendirmeleri için operasyonel incelemelerden elde edilen bulguları kullanmayı seçebilirler.

7. NIST SP 800-92, Guide to Security Log Management, günlük incelemesi dahil olmak üzere güvenlik günlüğü yönetimi yöntemleri ve teknikleri hakkında daha fazla bilgi sağlar. Şu adresten temin edilebilir:http://csrc.nist.gov/publications/PubsSPs.html.

Teknik güvenlik değerlendirmeleri gerçekleştirirken faydalı olabilecek günlük bilgilerinin örnekleri şunları içerir:

  • Kimlik doğrulama sunucusu veya sistem günlükleri, başarılı ve başarısız kimlik doğrulama girişimlerini içerebilir.
  • Sistem günlükleri, sistem ve hizmet başlatma ve kapatma bilgilerini, yetkisiz yazılımların kurulumunu, dosya erişimlerini, güvenlik politikası değişikliklerini, hesap değişikliklerini (ör. Hesap oluşturma ve silme, hesap ayrıcalığı atama) ve ayrıcalık kullanımını içerebilir.
  • Saldırı tespiti ve önleme sistem günlükleri kötü niyetli faaliyet ve uygunsuz kullanım içerebilir.
  • Güvenlik duvarı ve yönlendirici günlükleri, güvenliği ihlal edilmiş dahili cihazları (ör. Rootkit’ler, botlar, Truva atları, casus yazılımlar) gösteren giden bağlantıları içerebilir.
  • Güvenlik duvarı günlükleri, yetkisiz bağlantı girişimlerini ve uygunsuz kullanımı içerebilir.
  • Uygulama günlükleri, yetkisiz bağlantı girişimlerini, hesap değişikliklerini, ayrıcalıkların kullanımını ve uygulama veya veritabanı kullanım bilgilerini içerebilir.
  • Virüsten koruma günlükleri, güncelleme hatalarını ve güncel olmayan imzaların ve yazılımların diğer göstergelerini içerebilir.
  • Güvenlik günlükleri, özellikle yama yönetimi ve bazı IDS ve izinsiz giriş önleme sistemi (IPS) ürünleri, bilinen savunmasız hizmetler ve uygulamalar hakkındaki bilgileri kaydedebilir.

Günlüklerin manuel olarak incelenmesi son derece zaman alıcı ve külfetli olabilir. Gözden geçirme süresini önemli ölçüde azaltabilen ve günlük içeriklerini özetleyen ve bunları bir dizi belirli faaliyete göre izleyen önceden tanımlanmış ve özelleştirilmiş raporlar oluşturabilen otomatik denetim araçları mevcuttur. Değerlendiriciler, farklı biçimlerdeki günlükleri analiz için tek bir standart biçime dönüştürerek günlük analizini kolaylaştırmak için bu otomatik araçları da kullanabilir. Ek olarak, değerlendiriciler belirli bir eylemi (bir kuruluştaki başarısız oturum açma girişimlerinin sayısı gibi) gözden geçiriyorlarsa, bu araçları, günlükleri kontrol edilen etkinliğe göre filtrelemek için kullanabilirler.

3.3 Kural Seti İncelemesi

Kural kümesi, hangi eylemin gerçekleştirileceğini belirlemek için ağ trafiğinin veya sistem etkinliğinin karşılaştırıldığı bir kurallar veya imzalar koleksiyonudur – örneğin, bir paketi iletme veya reddetme, bir uyarı oluşturma veya bir sistem olayına izin verme. Bu kural setlerinin gözden geçirilmesi, kapsamlılığı sağlamak ve güvenlik cihazlarındaki ve ağ açıkları, politika ihlalleri ve istenmeyen veya savunmasız iletişim yolları gibi katmanlı savunmalardaki boşlukları ve zayıflıkları belirlemek için yapılır. Bir inceleme, bir kural kümesinin performansını olumsuz etkileyen verimsizlikleri de ortaya çıkarabilir.

İncelenecek kural kümeleri arasında ağ ve ana bilgisayar tabanlı güvenlik duvarı ve IDS / IPS kural kümeleri ve yönlendirici erişim kontrol listeleri bulunur. Aşağıdaki liste, kural kümesi incelemelerinde en sık gerçekleştirilen denetim türlerinin örneklerini sağlar:

Router Erişim Kontrol Listesi için;

  • Her kural yine de gereklidir (örneğin, geçici amaçlarla eklenen kurallar artık ihtiyaç duyulmadığında kaldırılır.)
  • Yalnızca ilke başına yetkilendirilen trafiğe izin verilir ve diğer tüm trafik varsayılan olarak reddedilir Güvenlik duvarı kural kümeleri için.
  • Her kural hala gereklidir.
  • Kurallar, yalnızca gerekli IP adreslerini ve bağlantı noktalarını belirtme gibi en az ayrıcalıklı erişimi zorunlu kılar.
  • Genel kurallardan önce daha spesifik kurallar tetiklenir
  • Çevre güvenliğini sıkılaştırmak için kapatılabilecek gereksiz açık portlar yoktur.
  • Kural seti, trafiğin diğer güvenlik savunmalarını atlamasına izin vermez.
  • Ana bilgisayar tabanlı güvenlik duvarı kural kümeleri için kurallar, arka kapıların, casus yazılım etkinliğinin veya eşler arası dosya paylaşım programları gibi yasaklanmış uygulamaların varlığını göstermez.

IDS/IPS için kural setleri;

  • False-Positive’leri ortadan kaldırmak ve performansı artırmak için gereksiz imzalar devre dışı bırakıldı veya kaldırılır.
  • Gerekli imzalar etkinleştirildi ve ince ayar yapıldı ve uygun şekilde korunur.
3.4 Sistem Konfigurasyonu İncelemesi

Sistem yapılandırması incelemesi, sağlamlaştırılmayan veya güvenlik politikalarına göre yapılandırılmayan sistemler gibi güvenlik yapılandırma kontrollerindeki zayıflıkları belirleme sürecidir. Örneğin, bu tür bir inceleme, gereksiz hizmetleri ve uygulamaları, yanlış kullanıcı hesabı ve şifre ayarlarını ve hatalı günlük kaydı ve yedekleme ayarlarını ortaya çıkaracaktır. Gözden geçirilebilecek güvenlik yapılandırma dosyalarının örnekleri, Windows güvenlik ilkesi ayarları ve / etc içinde olanlar gibi Unix güvenlik yapılandırma dosyalarıdır.

Manuel inceleme tekniklerini kullanan değerlendiriciler, sistem ayarlarının güvenlik risklerini en aza indirecek şekilde yapılandırıldığını doğrulamak için güvenlik yapılandırma kılavuzlarına veya kontrol listelerine güvenir.8 Manuel bir sistem yapılandırması incelemesi gerçekleştirmek için, değerlendiriciler, değerlendirilen cihazdaki çeşitli güvenlik ayarlarına erişir ve bunları, kontrol listesinden önerilen ayarlarla karşılaştırır. Minimum güvenlik standartlarını karşılamayan ayarlar işaretlenir ve rapor edilir.

Güvenlik İçerik Otomasyon Protokolü (SCAP), otomatikleştirilmiş güvenlik açığı yönetimi, ölçümü ve ilke uygunluğu değerlendirmesini etkinleştirmek için belirli standartları kullanma yöntemidir.9 NIST SCAP dosyaları, FISMA uyumluluğu ve NIST SP 800- 53A güvenlik kontrolü testi için yazılır. Güvenlik ayarlarını almak ve raporlamak ve düzeltici rehberlik sağlamak için başka araçlar da kullanılabilir. Otomatik araçlar genellikle doğrudan değerlendirilen cihaz üzerinde yürütülür, ancak aynı zamanda değerlendirilen cihaza ağ erişimi olan bir sistemde de yürütülebilir. Otomatik sistem yapılandırma incelemeleri manuel yöntemlerden daha hızlı olsa da, yine de manuel olarak kontrol edilmesi gereken ayarlar olabilir. Hem manuel hem de otomatik yöntemler, seçilen güvenlik ayarlarını görüntülemek için kök veya yönetici ayrıcalıkları gerektirir.

Genellikle, mümkün olduğunda manuel kontroller yerine otomatik kontrollerin kullanılması tercih edilir. Otomatik kontroller çok hızlı bir şekilde yapılabilir ve tutarlı, tekrarlanabilir sonuçlar sağlayabilir. Bir kişinin yüzlerce veya binlerce ayarı manuel olarak kontrol etmesi sıkıcı ve hataya açıktır.

8. NIST, şu adreste BT ürünleri için bir güvenlik yapılandırması kontrol listeleri deposu tutar: http://checklists.nist.gov/.

9. SCAP hakkında daha fazla bilgi için; http://scap.nist.gov/.

3.5 Network Sniffing

Ağ koklama, ağ iletişimini izleyen, protokollerin kodunu çözen ve ilgili bilgileri işaretlemek için başlıkları ve yükleri inceleyen pasif bir tekniktir10. Bir gözden geçirme tekniği olarak kullanılmasının yanı sıra, ağ koklama aynı zamanda bir hedef tanımlama ve analiz tekniği olarak da kullanılabilir (bkz. Bölüm 4.1). Ağ koklamayı kullanmanın nedenleri arasında şunlar yer alır:

  • Ağ trafiğini yakalama ve paket tekrarlama
  • Pasif ağ keşfi gerçekleştirme (ör. Ağdaki aktif cihazları tanımlama)
  • Güvenli olmayan (ör. Telnet) ve yetkisiz (ör. Eşler arası dosya paylaşımı) protokoller dahil olmak üzere işletim sistemlerini, uygulamaları, hizmetleri ve protokolleri tanımlama
  • Hassas bilgilerin şifrelenmeden iletilmesi gibi yetkisiz ve uygunsuz faaliyetlerin belirlenmesi
  • Şifrelenmemiş kullanıcı adları ve şifreler gibi bilgilerin toplanması.

Ağ koklamanın sistemler ve ağlar üzerinde çok az etkisi vardır, en belirgin etkisi bant genişliği veya bilgi işlem gücü kullanımıdır. Ağ koklamasını gerçekleştirmek için kullanılan bir araç olan algılayıcı, ağa bağlanmak için bir hub, dokunma veya bağlantı noktası kapsayan anahtar gibi bir araç gerektirir. Bağlantı noktası yayma, diğer tüm bağlantı noktalarından iletilen trafiğin, algılayıcının kurulu olduğu bağlantı noktasına kopyalanması işlemidir. Kuruluşlar, bir ortam içindeki çeşitli konumlarda ağ algılayıcıları dağıtabilir. Bunlar genellikle şunları içerir:

  • Çevrede, ağa giren ve çıkan trafiği değerlendirmek için,
  • Kural kümelerinin trafiği doğru bir şekilde filtrelediğini değerlendirmek için güvenlik duvarlarının arkasında,
  • İmzaların tetiklenip tetiklenmediğini ve uygun şekilde yanıtlanıp yanıtlanmadığını belirlemek için IDS / IPS’lerin arkasında,
  • Etkinliği değerlendirmek için kritik bir sistem veya uygulamanın önünde,
  • Belirli bir ağ segmentinde, şifrelenmiş protokolleri doğrulamak için.

Ağ sniffing ilgili bir sınırlama, şifrelemenin kullanılmasıdır. Pek çok saldırgan, faaliyetlerini gizlemek için şifrelemeden yararlanır – değerlendiriciler iletişimin gerçekleştiğini görebilir ancak içeriği görüntüleyemezler. Diğer bir sınırlama, bir ağ algılayıcısının yalnızca kurulu olduğu yerel bölümün trafiğini koklayabilmesidir. Bu, değerlendiricinin bunu bölümden bölüme taşımasını, ağ boyunca birden çok algılayıcı kurmasını ve / veya bağlantı noktası yayma kullanmasını gerektirir. Değerlendiriciler ayrıca her segmentte tarama yapmak için açık bir fiziksel ağ portu bulmayı zor bulabilir. Ek olarak, ağ koklama, ağ trafiğini yorumlamak için yüksek derecede insan katılımı gerektiren oldukça emek yoğun bir faaliyettir.

3.6 Dosya Entegrasyon Kontrolü

Dosya bütünlüğü denetleyicileri, her korunan dosya için bir sağlama toplamı hesaplayarak ve depolayarak ve bir dosya sağlama toplamı veritabanı oluşturarak sistem dosyalarının değiştirildiğini tanımlamanın bir yolunu sağlar.

10. Sinifferlar, topladıkları trafik için alan adı aramaları gerçekleştirebilir ve bu sırada ağ trafiği oluştururlar. Gizli sniffing için alan adı aramaları devre dışı bırakılabilir.

Saklanan sağlama toplamları, daha sonra mevcut değerlerini, dosyayı tanımlayan saklanan değerle karşılaştırmak için yeniden hesaplanır.Değişiklikler,bir dosya bütünlüğü denetleyicisi özelliği genellikle herhangi bir ticari ana bilgisayar tabanlı IDS’ye dahil edilir ve bağımsız bir yardımcı program olarak da mevcuttur.

Bir bütünlük denetleyicisi yüksek derecede insan etkileşimi gerektirmese de, etkinliğini sağlamak için dikkatle kullanılmalıdır. Dosya bütünlüğü denetimi, sistem dosyaları güvenli olduğu bilinen bir sistem kullanılarak oluşturulan bir referans veritabanıyla karşılaştırıldığında en etkilidir – bu, referans veritabanının güvenliği ihlal edilmiş dosyalarla oluşturulmamasını sağlamaya yardımcı olur. Saldırganların sistemi tehlikeye atmasını ve veritabanını değiştirerek izlerini örtmesini önlemek için referans veritabanı çevrimdışı saklanmalıdır. Ek olarak, yamalar ve diğer güncellemeler dosyaları değiştirdiğinden, sağlama toplamı veritabanı güncel tutulmalıdır.

Dosya bütünlüğü denetimi için, sağlama toplamı veritabanında depolanan verilerin bütünlüğünü sağlamak için Güvenli Karma Algoritma 1 (SHA-1) gibi güçlü kriptografik sağlama toplamları kullanılmalıdır. Federal kurumlar, Federal Bilgi İşleme Standardı (FIPS) PUB 140-2’ye göre gereklidir, Security Requirements for Cryptographic Modules11, to use SHA (e.g., SHA-1, SHA-256).

3.7 Özet

Tablo 3-1, Bölüm 3’te tartışılan gözden geçirme tekniklerinin başlıca yeteneklerini özetlemektedir.

 Tablo 3-1. İnceleme Teknikleri     Teknik Yetenekler Belgelerin İncelenmesi • Teknik doğruluk ve eksiksizlik için politikaları ve prosedürleri değerlendirir.     Log İncelenmesi • Sistem kullanımı, konfigürasyonu ve modifikasyonu hakkında geçmişe dönük bilgiler sağlar  • Olası sorunları ve politika sapmalarını ortaya çıkarabilir.    Kural Seti İncelemesi • Kural seti tabanlı güvenlik kontrollerindeki boşlukları ortaya çıkarır.     Sistem Konfigurasyonu İncelemesi • Sistem yapılandırmasının gücünü değerlendirir.   • Sistemlerin güçlendirme politikasına göre yapılandırıldığını doğrular.       • Etkin gibi bilgileri yakalamak için yerel segmentteki ağ trafiğini izler Ağ Sniffing sistemler, işletim sistemleri, iletişim protokolleri, hizmetler ve uygulamalar.   • İletişimin şifrelenmesini doğrular. Dosya Bütünlüğü Kontrolü • Önemli dosyalardaki değişiklikleri tanımlar; bazı istenmeyen biçimlerini de belirleyebilir. (İyi bilinen saldırgan araçları gibi dosyalar.)      

Riskler her teknik ve bunların kombinasyonları ile ilişkilidir. Hepsinin güvenli ve doğru bir şekilde yürütüldüğünden emin olmak için, her değerlendiricinin belirli bir temel beceri setine sahip olması gerekir. Tablo 3-2, Bölüm 3’te sunulan her teknik için ihtiyaç duyulan minimum beceri seti için yönergeler sağlar.

 Tablo 3-2. Gözden Geçirme Teknikleri için Temel Beceri Seti   Teknik Temel Beceri SetiBelgelerin İncelenmesi Politika açısından genel güvenlik bilgisi   Log İncelemesi Günlük formatları bilgisi ve günlük verilerini yorumlama ve analiz etme yeteneği; otomatik günlük analizi ve günlük korelasyon araçlarını kullanma yeteneği     Kural Seti İncelemesi Kural seti formatları ve yapıları bilgisi; çeşitli cihazlardan kural setlerini ilişkilendirme ve analiz etme yeteneği     Sistem Konfigurasyonu İncelemesi Çeşitli işletim sistemleri için işletim sistemi sertleştirme ve güvenlik ilkesi yapılandırması dahil olmak üzere güvenli sistem yapılandırması bilgisi; otomatik güvenlik yapılandırması test araçlarını kullanma yeteneği        

11. FIPS PUB 140-2 ilgili adresten incelenebilir; http://csrc.nist.gov/publications/PubsFIPS.html.

     Teknik Temel Beceri Seti   Genel İletim Kontrol Protokolü / İnternet Protokolü (TCP / IP) ve ağ bilgisi; Ağ Sniffing ağ trafiğini yorumlama ve analiz etme yeteneği;   ağ sniffing araçlarını dağıtma ve kullanma yeteneği     Dosya Entegrasyonu Kontrolü Genel dosya sistemi bilgisi; otomatik dosya bütünlüğü kontrol araçlarını  kullanma ve sonuçları yorumlama yeteneği        

4. Hedef Tanımlama ve Analiz Teknikleri

Bu bölüm, etkin cihazları ve bunlarla ilişkili bağlantı noktalarını ve hizmetlerini belirlemeye ve bunları olası güvenlik açıkları açısından analiz etmeye odaklanan teknik hedef tanımlama ve analiz tekniklerini ele almaktadır. Değerlendirici, güvenlik açıklarının varlığını doğrulayacak cihazları araştırmaya devam etmek için bu bilgileri kullanır. Kuruluşlar, analiz edilecek varlıkları belirlemek için genellikle teknik olmayan tekniklere ek olarak veya teknik teknikler yerine kullanırlar. Örneğin, kuruluşların mevcut varlık envanterleri veya hedeflenecek diğer varlık listeleri olabilir; başka bir örnek, teknik teknikler kullanıldığında ağ ile bağlantısı kesilen veya ağ ile bağlantısı kesilen ana bilgisayarlar gibi teknik tekniklerle bulunmayan varlıkları belirlemek için bir tesisin gözden geçirilmesini gerçekleştiren değerlendiricilerdir.

Uygulama güvenliği incelemesi için hedef belirleme ve analiz teknikleri Ek C’de kısaca değerlendirilmiştir.

4.1 Ağ Keşfi

Ağ keşfi, bir ağdaki etkin ve yanıt veren ana bilgisayarları keşfetmek, zayıflıkları belirlemek ve ağın nasıl çalıştığını öğrenmek için bir dizi yöntem kullanır. Bir ağdaki cihazları keşfetmek için hem pasif (inceleme) hem de aktif (test) teknikler mevcuttur. Pasif teknikler, ağ trafiğini izlemek ve etkin ana bilgisayarların IP adreslerini kaydetmek için bir ağ algılayıcı kullanır ve hangi bağlantı noktalarının kullanımda olduğunu ve ağda hangi işletim sistemlerinin keşfedildiğini bildirebilir. Pasif keşif, ana bilgisayarlar arasındaki ilişkileri de belirleyebilir (hangi ana bilgisayarların birbirleriyle iletişim kurduğu, iletişimlerinin ne sıklıkta gerçekleştiği ve gerçekleşen trafik türü dahil) ve genellikle ana bilgisayarı izleyebildiği dahili ağdaki bir ana bilgisayardan gerçekleştirilir iletişim. Bu, tek bir araştırma paketi göndermeden yapılır. Pasif keşif, bilgi toplamak için etkin bulmadan daha fazla zaman alır ve izleme süresi boyunca trafik göndermeyen veya almayan ana bilgisayarlar rapor edilmeyebilir.

Etkin teknikler, genellikle otomatik bir araç kullanılarak ağ ana bilgisayarlarından yanıtlar istemek için İnternet Kontrol Mesajı Protokolü (ICMP) pingleri gibi çeşitli ağ paketi türleri gönderir. İşletim sistemi parmak izi olarak bilinen bir etkinlik, değerlendiricinin sisteme normal, anormal ve yasa dışı ağ trafiğinin bir karışımını göndererek sistemin işletim sistemini belirlemesini sağlar. Diğer bir faaliyet, bağlantı noktalarının etkin olduğunu gösteren yanıtlar oluşturmak için ortak bağlantı noktası numaralarına paket göndermeyi içerir. Araç, bu etkinliklerden gelen yanıtları analiz eder ve bunları belirli işletim sistemlerinden ve ağ hizmetlerinden gelen paketlerin bilinen özellikleriyle karşılaştırarak ana bilgisayarları, çalıştırdıkları işletim sistemlerini, bağlantı noktalarını ve bu bağlantı noktalarının durumunu tanımlamasını sağlar. Bu bilgiler, sızma testi için hedefler hakkında bilgi toplama, topoloji haritaları oluşturma, güvenlik duvarı ve IDS yapılandırmalarını belirleme ve sistemler ve ağ yapılandırmalarındaki güvenlik açıklarını keşfetmeyi içeren amaçlar için kullanılabilir.

Ağ keşif araçlarının, tarama yoluyla bilgi edinmenin birçok yolu vardır. Kurumsal güvenlik duvarları ve izinsiz giriş algılama sistemleri, özellikle en şüpheli paketleri (ör. SYN / FIN taraması, NULL taraması) kullanan birçok tarama örneğini tanımlayabilir. Güvenlik duvarları ve saldırı tespit sistemleri aracılığıyla keşif yapmayı planlayan değerlendiriciler, güvenlik yöneticilerinin dikkatini çekmeden hangi tür taramaların sonuç sağlama olasılığının en yüksek olduğunu ve taramaların daha gizli bir şekilde (daha yavaş veya başarı şanslarını artırmak için çeşitli kaynak IP adresleri). Değerlendiriciler ayrıca, özellikle zayıf güvenliğe sahip olduğu bilinen eski sistemlere karşı kullanılacak tarama türlerini seçerken dikkatli olmalıdır, çünkü bazı taramalar sistem arızalarına neden olabilir. Tipik olarak, tarama normal aktiviteye ne kadar yakınsa, operasyonel sorunlara neden olma olasılığı o kadar azdır.

Ağ keşfi, bir ağ üzerinde çalışan yetkisiz veya hileli cihazları da tespit edebilir. Örneğin, yalnızca birkaç işletim sistemi kullanan bir kuruluş,

farklı olanlar. Kablolu bir hileli cihaz belirlendiğinde, 12 bağlı olduğu anahtarı belirlemek için mevcut ağ haritaları ve cihazın ağ etkinliğinde önceden toplanmış bilgiler kullanılarak konumlandırılabilir.

Doğru anahtarı bulmak için hileli aygıtla (pingler gibi) ek ağ etkinliği oluşturmak gerekli olabilir. Bir sonraki adım, hileli cihazla ilişkili anahtar üzerindeki anahtar bağlantı noktasını belirlemek ve bu anahtar bağlantı noktasını hileli cihaza bağlayan kabloyu fiziksel olarak izlemektir.

Ağ keşfinde kullanılmak üzere bir dizi araç mevcuttur ve birçok aktif keşif aracının pasif ağ sniffing ve bağlantı noktası taraması için de kullanılabileceği unutulmamalıdır. Çoğu bir grafik kullanıcı arabirimi (GUI) sunar ve bazıları ayrıca bir komut satırı arabirimi sunar. Komut satırı arabirimlerinin öğrenilmesi GUI’lerden daha uzun sürebilir, çünkü aracın hangi testleri gerçekleştirmesi gerektiğini ve değerlendiricinin aracı etkili bir şekilde kullanmayı öğrenmesi gerektiğini belirten komut ve anahtarların sayısı. Ayrıca geliştiriciler, açık kaynak araçları için, değerlendiricilerin araç çıktısını kolayca ayrıştırmasına olanak tanıyan bir dizi modül yazmışlardır. Örneğin, bir aracın Genişletilebilir Biçimlendirme Dili (XML) çıktı yeteneklerini, biraz komut dosyası oluşturma ve bir veritabanını birleştirmek, yetkisiz hizmetler ve makineler için ağı izleyebilen daha güçlü bir araç oluşturur. Birçok komutun ne işe yaradığını ve bunların nasıl birleştirileceğini öğrenmek, en iyi şekilde deneyimli bir güvenlik mühendisinin yardımıyla elde edilir. Sistem yöneticileri ve diğer ağ mühendisleri dahil olmak üzere çoğu deneyimli BT uzmanının sonuçları yorumlayabilmesi gerekir, ancak keşif araçlarıyla çalışmak bir mühendis tarafından daha verimli bir şekilde gerçekleştirilir.

Pasif keşfe kıyasla aktif keşfin avantajlarından bazıları, bir değerlendirmenin farklı bir ağdan yürütülebilmesi ve genellikle bilgi toplamak için çok az zaman gerektirmesidir. Pasif keşifte, tüm ana bilgisayarların yakalandığından emin olmak için trafiğin tüm noktalara ulaşmasını gerektirir ve bu, özellikle daha büyük kurumsal ağlarda zaman alıcı olabilir.

Aktif bulmanın bir dezavantajı, bazen ağ gecikmesine neden olan ağ gürültüsü oluşturma eğiliminde olmasıdır. Etkin keşif, yanıtları almak için sorgular gönderdiğinden, bu ek ağ etkinliği trafiği yavaşlatabilir veya yüksek hacimde gerçekleştirilirse kötü yapılandırılmış ağlarda paketlerin bırakılmasına neden olabilir. Aktif keşif aynı zamanda IDS uyarılarını da tetikleyebilir, çünkü pasif keşiften farklı olarak başlangıç ​​noktasını ortaya çıkarır. Tüm ağ sistemlerini başarılı bir şekilde keşfetme yeteneği, korumalı ağ bölümleri ve çevre güvenlik cihazları ve tekniklerine sahip ortamlardan etkilenebilir. Örneğin, kuruluşların, harici trafik için farklı bir genel IP adresleri kümesine çevrilen dahili, genel olarak yönlendirilmemiş IP adreslerine sahip olmalarına olanak tanıyan ağ adresi çevirisini (NAT) kullanan bir ortam, ağdan veya korumalı segmentlerden. Hedef cihazlardaki kişisel ve ana bilgisayar tabanlı güvenlik duvarları da keşif trafiğini engelleyebilir. Cihazlardan faaliyeti kışkırtmaya çalışmanın bir sonucu olarak yanlış bilgi alınabilir. Aktif keşif, hedef ağdaki ayarlar hakkında hangi sonuçların çıkarılması gerektiği bilgisini sunar.

Hem pasif hem de aktif keşif için, alınan bilgi nadiren tamamen doğrudur. Örnek olarak, yalnızca etkin keşif sırasında açık olan ve bağlanan ana bilgisayarlar belirlenecektir – değerlendirme sırasında sistemler veya ağın bir bölümü çevrimdışıysa, aygıtları keşfetmede büyük bir boşluk olma olasılığı vardır. Pasif keşif yalnızca keşif süresi boyunca iletişim ileten veya alan cihazları bulacak olsa da, ağ yönetimi yazılımı gibi ürünler sürekli keşif yetenekleri sağlayabilir ve ağda yeni bir cihaz olduğunda otomatik olarak uyarılar oluşturabilir. Sürekli keşif, yeni adresler için IP adresi aralıklarını tarayabilir veya yeni IP adresi isteklerini izleyebilir. Ayrıca, birçok keşif aracı, belirli bir zamanda belirlenen her gün sayısı gibi, düzenli olarak çalışacak şekilde programlanabilir. Bu, bu araçları düzensiz çalıştırmaktan daha doğru sonuçlar sağlar.

12. Yetkisiz kablosuz aygıtları bulma hakkında bilgi için Bölüm 4.4’e bakın.

4.2 Ağ/Port Servis Keşfi

Ağ bağlantı noktası ve hizmet tanımlama, FTP ve HTTP gibi etkin ana bilgisayarlarda çalışan ağ bağlantı noktalarını ve hizmetleri ve Microsoft Internet Information Server (IIS) veya Apache gibi tanımlanmış her hizmeti çalıştıran uygulamayı tanımlamak için bir bağlantı noktası tarayıcısı kullanmayı içerir. HTTP hizmeti. Kuruluşlar, başka yollarla (örneğin, ağ keşfi) yapılmadıysa, ana bilgisayarları tanımlamak için ağ bağlantı noktası ve hizmet tanımlaması yapmalı ve potansiyel olarak savunmasız hizmetleri işaretlemelidir. Bu bilgi, sızma testi için hedefleri belirlemek için kullanılabilir.

Tüm temel tarayıcılar, etkin ana bilgisayarları ve açık bağlantı noktalarını tanımlayabilir, ancak bazı tarayıcılar ayrıca taranan ana bilgisayarlar hakkında ek bilgi sağlayabilir. Açık bağlantı noktası taraması sırasında toplanan bilgiler, işletim sistemi parmak izi adı verilen bir işlem aracılığıyla hedef işletim sisteminin tanımlanmasına yardımcı olabilir. Örneğin, bir ana bilgisayarın 135, 139 ve 445 numaralı TCP bağlantı noktaları açıksa, muhtemelen bir Windows ana bilgisayarı veya muhtemelen Samba çalıştıran bir Unix ana bilgisayarıdır. TCP paket sıra numarası oluşturma ve paketlere verilen yanıtlar gibi diğer öğeler de işletim sistemini tanımlamak için bir ipucu sağlar. Ancak işletim sistemi parmak izi, kusursuz değildir. Örneğin, güvenlik duvarları belirli bağlantı noktalarını ve trafik türlerini engeller ve sistem yöneticileri, gerçek işletim sistemini kamufle etmek için sistemlerini standart olmayan yollarla yanıt verecek şekilde yapılandırabilir.

Bazı tarayıcılar, hizmet tanımlama adı verilen bir işlem aracılığıyla belirli bir bağlantı noktasında çalışan uygulamayı tanımlamaya yardımcı olabilir. Çoğu tarayıcı, ortak bağlantı noktası numaralarını ve tipik ilişkili hizmetleri listeleyen bir hizmet dosyası kullanır – örneğin, bir ana bilgisayarda 80 numaralı TCP bağlantı noktasının açık olduğunu tanımlayan bir tarayıcı, bir web sunucusunun o bağlantı noktasında dinleme yaptığını bildirebilir – ancak daha önce ek adımlar gereklidir bu teyit edilebilir. Bazı tarayıcılar, gözlemlenen bir bağlantı noktasıyla iletişimi başlatabilir ve hangi hizmetin orada olduğunu belirlemek için, genellikle gözlemlenen etkinliği ortak hizmetler ve hizmet uygulamaları hakkındaki bilgi havuzuyla karşılaştırarak iletişimlerini analiz edebilir. Bu teknikler, hangi Web sunucusu yazılımının kullanımda olduğu gibi hizmet uygulamasını ve uygulama sürümünü belirlemek için de kullanılabilir – bu işlem sürüm taraması olarak bilinir. Afiş yakalama adı verilen iyi bilinen bir sürüm tarama biçimi, bir bağlantı başlatıldığında uzak bağlantı noktası tarafından iletilen başlık bilgilerinin yakalanmasını içerir. Bu bilgiler, uygulama türünü, uygulama sürümünü ve hatta işletim sistemi türünü ve sürümünü içerebilir. Güvenlik bilincine sahip bir yönetici, hizmetin gerçek yapısını gizleme umuduyla iletilen başlıkları veya diğer özellikleri değiştirebileceğinden, sürüm taraması kusursuz değildir. Ancak, sürüm taraması, bir tarayıcının hizmetler dosyasına güvenmekten çok daha doğrudur.

Tarayıcı modelleri, normalde belgelerinde açıklanan güçlü ve zayıf yönlere sahip çeşitli tarama yöntemlerini destekler. Örneğin, bazı tarayıcılar en iyi güvenlik duvarları üzerinden tarama yaparken, diğerleri ise güvenlik duvarı içindeki taramalar için daha uygundur. Sonuçlar, kullanılan bağlantı noktası tarayıcıya bağlı olarak farklılık gösterecektir. Bazı tarayıcılar, her bağlantı noktası için basit bir açık veya kapalı yanıtla yanıt verirken, diğerleri, değerlendiriciye ek bilgi elde etmek için başka hangi tarama türlerinin yararlı olacağını belirlemede yardımcı olabilecek ek ayrıntılar (örneğin, filtrelenmiş veya filtrelenmemiş) sunar.

Ağ bağlantı noktası ve hizmet tanımlama, taranacak aygıtlar olarak genellikle ağ keşfinin IP adresi sonuçlarını kullanır. Bağlantı noktası taramaları, tüm IP adresi bloklarında bağımsız olarak da çalıştırılabilir – burada, bağlantı noktası tarama, ağdaki etkin ana bilgisayarları tanımlayarak varsayılan olarak ağ keşfi gerçekleştirir. Ağ keşfinin ve ağ bağlantı noktası ve hizmet tanımlamasının sonucu, bağlantı noktası tarama aracına yanıt veren adres alanında çalışan tüm etkin aygıtların yanı sıra yanıt veren bağlantı noktalarının bir listesidir. Güvenlik duvarlarıyla korunan veya kapatılanlar gibi taramaya yanıt vermeyen ek aktif cihazlar mevcut olabilir. Değerlendiriciler, cihazları kendi kendilerine tarayarak, tarayıcıyı cihazlara erişebilen bir bölüme yerleştirerek veya alternatif tarama türleri (örneğin, SYN / FIN veya Xmas taraması) kullanarak güvenlik duvarından kaçmaya çalışarak bu cihazları bulmaya çalışabilir. 13

Hem harici hem de dahili tarama kullanılacaksa ve değerlendiriciler kasıtlı olarak testi “blind” yapıyorlarsa, önce harici taramanın gerçekleştirilmesi önerilir. Bu sırada tamamlanan günlükler, dahili test öncesinde ve sırasında incelenebilir ve karşılaştırılabilir. Değerlendiriciler, harici tarama gerçekleştirirken, paketleri güvenlik duvarlarından almak için mevcut herhangi bir gizli tekniği kullanabilirken, IDS ve IPS tarafından tespit edilmekten kaçınabilirler.14 Paketleri değiştirmek için parçalama, çoğaltma, örtüşme, sıra dışı ve zamanlama tekniklerini kullanan araçlar normal trafiğe daha çok benziyor ve öneriliyor. Dahili testler daha az agresif tarama yöntemleri kullanma eğilimindedir çünkü bu taramalar harici taramalara göre daha az engellenir. Dahili olarak daha agresif taramaların kullanılması, tarama sonuçlarını mutlaka iyileştirmeden, kesintiye uğratan işlemlerin değişikliklerini önemli ölçüde artırır. Özelleştirilmiş paketler içeren bir ağı tarayabilmek, dahili testler için de işe yarar, çünkü belirli güvenlik açıklarını kontrol etmek, oldukça özelleştirilmiş paketler gerektirir. Paket oluşturucu yeteneğine sahip araçlar bu süreçte yardımcı olur. Paketler, oluşturulduktan sonra sonuçları toplayacak ikinci bir tarama programı aracılığıyla gönderilebilir. Özelleştirilmiş paketler bir hizmet reddi (DoS) saldırısını tetikleyebildiğinden, bu tür testler gece veya hafta sonu gibi düşük ağ trafiği dönemlerinde yapılmalıdır.

Bağlantı noktası tarayıcıları etkin ana bilgisayarları, işletim sistemlerini, bağlantı noktalarını, hizmetleri ve uygulamaları tanımlasa da, güvenlik açıklarını belirlemezler. Güvenli olmayan protokollerin (ör. Önemsiz Dosya Aktarım Protokolü [TFTP], telnet), kötü amaçlı yazılımın, yetkisiz uygulamaların ve savunmasız hizmetlerin varlığını doğrulamak için ek araştırma yapılması gerekir. Savunmasız hizmetleri belirlemek için, değerlendirici, hizmetlerin tanımlanmış sürüm numaralarını, bilinen güvenlik açığı olan sürümlerin bir listesiyle karşılaştırır veya Bölüm 4.3’te tartışıldığı gibi otomatik güvenlik açığı taraması gerçekleştirir. Bağlantı noktası tarayıcılarda, tarama işlemi oldukça otomatiktir, ancak taranan verilerin yorumlanması değildir.

Bağlantı noktası taraması, bant genişliğini tüketerek ve ağ yanıt sürelerini yavaşlatarak ağ işlemlerini kesintiye uğratabilse de, bir kuruluşun ana bilgisayarlarının yalnızca onaylı ağ hizmetlerini çalıştıracak şekilde yapılandırıldığından emin olmasını sağlar. İşlemlerdeki kesintileri en aza indirmek için tarama yazılımı dikkatlice seçilmelidir. Liman taraması, operasyonlarda minimum etkiye neden olmak için saatler sonra da yapılabilir.

4.3 Güvenlik Zaafiyeti Taraması

Ağ bağlantı noktası ve hizmet tanımlama gibi, güvenlik açığı taraması, ana bilgisayarları ve ana bilgisayar özniteliklerini (örneğin işletim sistemleri, uygulamalar, açık bağlantı noktaları) tanımlar, ancak aynı zamanda tarama sonuçlarının insan tarafından yorumlanmasına dayanmak yerine güvenlik açıklarını belirlemeye çalışır. Birçok güvenlik açığı tarayıcısı, güvenlik açığı taraması için gereken iş miktarını azaltan ağ keşfi ve ağ bağlantı noktası ve hizmet tanımlamasından elde edilen sonuçları kabul edecek şekilde donatılmıştır. Ayrıca, bazı tarayıcılar kendi ağ keşfini ve ağ bağlantı noktasını ve hizmet kimliğini gerçekleştirebilir. Güvenlik açığı taraması, güncel olmayan yazılım sürümlerini, eksik yamaları ve yanlış yapılandırmaları belirlemeye ve bir kuruluşun güvenlik politikasına uyumu veya bu politikadan sapmaları doğrulamaya yardımcı olabilir. Bu, ana bilgisayarlarda çalışan işletim sistemlerini ve önemli yazılım uygulamalarını tanımlayarak ve bunları tarayıcıların güvenlik açığı veritabanlarında depolanan bilinen güvenlik açıklarına ilişkin bilgilerle eşleştirerek yapılır.

Vulnerability scanners can:

Ana bilgisayar uygulaması kullanımı ve güvenlik politikalarıyla uyumluluğu kontrol edin

13. Birçok güvenlik duvarı, çeşitli alternatif tarama türlerini tanıyabilir ve engelleyebilir, bu nedenle test uzmanları, birçok ortamda güvenlik duvarlarından kaçınmak için bunları kullanamayabilir.

14. Bu, özellikle IDS’lerin ve IPS’lerin ayarlanmasının ve yapılandırılmasının iyileştirilmesinde yardımcı olabilir.

  • Sızma testi için hedefler hakkında bilgi sağlayın
  • Keşfedilen güvenlik açıklarının nasıl azaltılacağına ilişkin bilgi sağlayın.

Güvenlik açığı tarayıcıları, yerel olarak veya ağ üzerinden bir ana bilgisayara karşı çalıştırılabilir. Bazı ağ tabanlı tarayıcılar, tek tek ana bilgisayarlarda yönetici düzeyinde kimlik bilgilerine sahiptir ve bu kimlik bilgilerini kullanarak ana bilgisayarlardan güvenlik açığı bilgilerini çıkarabilir. Diğer ağ tabanlı tarayıcılar, bu tür kimlik bilgilerine sahip değildir ve ana bilgisayarları bulmak ve ardından bu ana bilgisayarları güvenlik açıklarına karşı taramak için ağların taranmasına güvenmelidir. Bu gibi durumlarda, ağ tabanlı tarama öncelikle ağ keşfi gerçekleştirmek ve açık bağlantı noktalarını ve ilgili güvenlik açıklarını belirlemek için kullanılır – çoğu durumda, hedeflenen sistemlerin işletim sistemi ile sınırlı değildir. Ana bilgisayar kimlik bilgileri olmadan ağ tabanlı tarama hem dahili hem de harici olarak gerçekleştirilebilir ve dahili tarama genellikle harici taramaya göre daha fazla güvenlik açığını ortaya çıkarmasına rağmen, her iki bakış açısından da test etmek önemlidir. Harici tarama, trafiği engelleyen çevre güvenlik cihazlarıyla uğraşmalı ve değerlendiricileri yalnızca trafiği geçmeye yetkili bağlantı noktalarını taramakla sınırlandırmalıdır.

Harici tarama gerçekleştiren değerlendiriciler, NAT veya kişisel ve ana bilgisayar tabanlı güvenlik duvarlarının kullanımı gibi ağ keşfinde karşılaşılanlara benzer zorluklar bulabilir. NAT zorluklarının üstesinden gelmek ve başarılı ağ tabanlı tarama gerçekleştirmek için, değerlendiriciler güvenlik duvarı yöneticisinden, güvenlik duvarı tarafından destekleniyorsa belirli IP adresleri veya adres grupları üzerinde bağlantı noktası iletmeyi etkinleştirmesini isteyebilir veya NAT gerçekleştiren aygıtın arkasında ağ erişimi talep edebilir. Değerlendiriciler ayrıca, kişisel veya ana bilgisayar tabanlı güvenlik duvarlarının, değerlendirme süresi boyunca test sistemi IP adreslerinden gelen trafiğe izin verecek şekilde yapılandırılmasını isteyebilir. Bu adımlar, değerlendiricilere ağ hakkında daha fazla içgörü sağlayacak, ancak harici bir saldırganın yeteneklerini doğru bir şekilde yansıtmayacaktır – ancak içerideki kötü niyetli bir kişinin veya dahili bir bilgisayardaki başka bir ana bilgisayara erişimi olan harici bir saldırganın kullanabileceği özelliklerin daha iyi bir gösterimini sunabilirler. Ağ değerlendiriciler ayrıca ayrı ana bilgisayarlarda tarama gerçekleştirebilir.

Yerel güvenlik açığı taraması için, taranacak her ana bilgisayara bir tarayıcı yüklenir. Bu, esas olarak ana bilgisayar işletim sistemini ve uygulama yanlış yapılandırmalarını ve hem ağdan yararlanılabilir hem de yerel olarak yararlanılabilir güvenlik açıklarını belirlemek için yapılır. Yerel tarama, ağ tabanlı taramaya göre daha yüksek ayrıntı düzeyine sahip güvenlik açıklarını algılayabilir çünkü yerel tarama genellikle hem ana bilgisayar (yerel) erişimi hem de bir kök veya yönetici hesabı gerektirir. Bazı tarayıcılar ayrıca yerel hatalı yapılandırmaları onarma özelliği de sunar.

Bir güvenlik açığı tarayıcısı, bir kuruluşun yüzeydeki güvenlik açıklarına maruz kalma durumunu ölçmenin nispeten hızlı ve kolay bir yoludur. Yüzey güvenlik açığı, diğer güvenlik açıklarından bağımsız olarak tek başına var olan bir zayıflıktır. Tarayıcı tarafından gönderilen saldırı modellerine yanıt olarak sistemin davranışları ve çıktıları, bilinen güvenlik açıklarının imzalarını karakterize edenlerle karşılaştırılır ve araç bulunan tüm eşleşmeleri rapor eder. İmza tabanlı taramanın yanı sıra, bazı güvenlik açığı tarayıcıları, açığa çıkan, yararlanılabilir güvenlik açıklarını araştırmak için kullanılan keşif saldırı modellerini simüle etmeye çalışır ve bu teknikler başarılı olduğunda bulunan güvenlik açıklarını bildirir.

Güvenlik açıklarının risk düzeyini belirlemedeki bir zorluk, nadiren tek başına var olmalarıdır. Örneğin, birleştirildiğinde daha yüksek risk oluşturan birkaç düşük riskli güvenlik açığı olabilir. Tarayıcılar, yalnızca potansiyel olarak bitmeyen saldırı modeli kombinasyonlarının sonucu olarak ortaya çıkan güvenlik açıklarını algılayamaz. Araç, her bir güvenlik açığına düşük bir risk atayabilir ve değerlendiriciyi yerinde güvenlik önlemlerine yanlış bir şekilde güvenebilir. Bir bütün olarak güvenlik açıklarının riskini belirlemenin daha güvenilir bir yolu, Bölüm 5.2’de tartışılan sızma testidir.

Güvenlik açıklarının risk düzeyini belirlemeyle ilgili diğer bir sorun, güvenlik açığı tarayıcılarının düzeyleri tanımlamak için genellikle kendi özel yöntemlerini kullanmalarıdır. Örneğin, bir tarayıcı düşük, orta ve yüksek seviyeleri kullanırken, başka bir tarayıcı bilgi amaçlı, düşük, orta, yüksek ve kritik seviyeleri kullanabilir.

Bu, bulguları birden çok tarayıcı arasında karşılaştırmayı zorlaştırır. Ayrıca, bir tarayıcı tarafından atanan risk seviyeleri, kuruluşun gerçek riskini yansıtmayabilir – örneğin, bir tarayıcı bir FTP sunucusunu orta risk olarak etiketleyebilir çünkü şifreleri açık metin olarak iletir, ancak kuruluş yalnızca FTP sunucusunu şifre kullanmayan anonim bir genel sunucu, bu durumda gerçek risk önemli ölçüde daha düşük olabilir. Değerlendiriciler, her bir güvenlik açığı için uygun risk düzeyini belirlemeli ve yalnızca güvenlik açığı tarayıcıları tarafından atanan risk düzeylerini kabul etmemelidir.

Ağ tabanlı güvenlik açığı taramasının bazı önemli zayıflıkları vardır. Ağ sniffing ve keşfetmede olduğu gibi, bu tür tarama yalnızca aktif sistemler için güvenlik açıklarını ortaya çıkarır. Bu genellikle yüzey güvenlik açıklarını kapsar ve taranan bir ağın genel risk düzeyini ele alamaz. Sürecin kendisi son derece otomatik olmasına rağmen, güvenlik açığı tarayıcıları yüksek bir yanlış pozitif hata oranına sahip olabilir (yani, güvenlik açıkları mevcut olmadığında raporlama). Ağ oluşturma ve işletim sistemi güvenliğinde uzmanlığa sahip bir kişi sonuçları yorumlamalıdır. Ve ağ tabanlı güvenlik açığı taraması, bir ana bilgisayardaki güvenlik açıklarını güvenilir bir şekilde tanımlamak için bağlantı noktası taramasından daha fazla bilgi gerektirdiğinden, bağlantı noktası taramasından çok daha fazla ağ trafiği oluşturma eğilimindedir. Bu, taranan ana bilgisayarlar veya ağ üzerinde ya da tarama trafiğinin geçtiği ağ kesimleri üzerinde olumsuz bir etkiye sahip olabilir. Güvenlik açığı tarayıcılarının çoğu, deneyimsiz bir değerlendiricinin elinde taranan ana bilgisayarlar üzerinde belirgin bir olumsuz etkiye sahip olabilecek DoS saldırıları için ağ tabanlı testleri de içerir. Tarayıcılar, test yoluyla ana bilgisayarları etkileme riskini azaltmak için genellikle tüm DoS saldırı testlerinin bastırılmasına izin verir.

Güvenlik açığı tarayıcılarının bir diğer önemli sınırlaması, virüs tarayıcıları ve IDS’ler gibi, bir imza havuzuna güvenmeleridir. Bu, tarayıcının en son güvenlik açıklarını tanımasını sağlamak için değerlendiricilerin bu imzaları sık sık güncellemesini gerektirir. Herhangi bir tarayıcıyı çalıştırmadan önce, bir değerlendirici, güvenlik açığı veritabanına yönelik en son güncellemeleri yüklemelidir. Bazı güvenlik açığı tarayıcı veritabanları diğerlerinden daha düzenli olarak güncellenir — bu güncelleme sıklığı, bir güvenlik açığı tarayıcısı seçerken önemli bir husus olmalıdır.

Güvenlik açığı tarayıcılarının çoğu, değerlendiricinin kapsamlılık açısından değişen farklı düzeylerde tarama yapmasına izin verir. Daha kapsamlı tarama, daha fazla sayıda güvenlik açığı tespit etse de, genel tarama sürecini yavaşlatabilir. Daha az kapsamlı tarama daha az zaman alabilir, ancak yalnızca iyi bilinen güvenlik açıklarını tanımlar. Genel olarak, kaynakların izin vermesi durumunda değerlendiricilerin kapsamlı bir güvenlik açığı taraması yapmaları önerilir.

Güvenlik açığı taraması, sonuçları yorumlamak için yüksek derecede insan katılımı gerektiren, biraz emek yoğun bir faaliyettir. Ayrıca, bant genişliğini artırarak ve yanıt sürelerini yavaşlatarak ağ işlemlerini bozabilir. Bununla birlikte, güvenlik açıklarının taranması, güvenlik açıklarının düşmanlar tarafından keşfedilmeden ve kötüye kullanılmadan önce azaltılmasının sağlanması açısından son derece önemlidir.

Tüm kalıp eşleştirme ve imza tabanlı araçlarda olduğu gibi, uygulama güvenlik açığı tarayıcıları genellikle yüksek false-positive oranlarına sahiptir. Değerlendiriciler, tarayıcılarını hem yanlış pozitifleri hem de yanlış negatifleri mümkün olan en aza indirecek şekilde yapılandırmalı ve kalibre etmeli ve gerçek güvenlik açıklarını belirlemek için sonuçları anlamlı bir şekilde yorumlamalıdır. Tarayıcılar ayrıca, diğer imza tabanlı araçları karakterize eden yüksek yanlış negatif oranlarından da muzdariptir – ancak otomatik tarayıcılar tarafından tespit edilemeyen güvenlik açıkları, birden fazla güvenlik açığı tarayıcıları veya ek test biçimleri kullanılarak yakalanabilir. Yaygın bir uygulama, birden çok tarayıcı kullanmaktır – bu, değerlendiricilere sonuçları karşılaştırmak için bir yol sağlar.

4.4 Kablosuz Ağ Taraması

Kablosuz teknolojiler, en basit anlamıyla, bir veya daha fazla cihazın ağ veya çevresel kablolar gibi fiziksel bağlantılara ihtiyaç duymadan iletişim kurmasını sağlar. Kablosuz klavyeler ve fareler gibi basit teknolojilerden karmaşık cep telefonu ağlarına ve kurumsal kablosuz yerel alan ağlarına (WLAN) kadar çeşitlilik gösterirler.

Kablosuz özellikli aygıtların sayısı ve kullanılabilirliği artmaya devam ettikçe, kuruluşların kurumsal kablosuz ortamlarını etkin bir şekilde test etmesi ve güvenliğini sağlaması önemlidir.15 Kablosuz taramalar, kuruluşların kablosuz etkin teknolojilerin oluşturduğu riskleri azaltmak için düzeltici eylemler belirlemelerine yardımcı olabilir.

Teknik kablosuz güvenlik değerlendirmeleri planlanırken kuruluşun ortamındaki aşağıdaki faktörler dikkate alınmalıdır:

Bir binanın halka açık bir alana (ör. Caddeler ve ortak alanlar) fiziksel yakınlığı veya yoğun bir metropol alanındaki konumu, kablosuz tehdit riskini artırabileceğinden, taranan tesisin konumu,

Kablosuz teknolojiler kullanılarak iletilecek verilerin güvenlik seviyesi,

Kablosuz cihazların ortama ne sıklıkta bağlanması ve bağlantılarının kesilmesi ve kablosuz cihazlar için tipik trafik seviyeleri (örneğin, ara sıra aktivite veya oldukça sürekli aktivite) – bunun nedeni, kablosuz tarama sırasında yalnızca aktif kablosuz cihazların keşfedilebilir olmasıdır.

Testle toplanabilecek bilgilerin çoğunu halihazırda toplayabilen kablosuz saldırı algılama ve önleme sistemlerinin (WIDPS16) mevcut dağıtımları.

Kablosuz tarama, dizüstü bilgisayar, el cihazı veya özel cihaz gibi kablosuz analiz yazılımı yüklenmiş ve yapılandırılmış bir mobil cihaz kullanılarak gerçekleştirilmelidir. Tarama yazılımı veya aracı, operatörün cihazı belirli taramalar için yapılandırmasına ve hem pasif hem de aktif modlarda tarama yapmasına izin vermelidir. Tarama yazılımı, kuruluşun kablosuz güvenlik yapılandırma gereksinimlerinden sapmaları belirlemek için operatör tarafından da yapılandırılabilir olmalıdır.

Kablosuz tarama aracı, ister yerel ister uluslararası olsun, tüm Elektrik ve Elektronik Mühendisleri Enstitüsü (IEEE) 802.11a / b / g / n kanallarını tarayabilmelidir. Bazı durumlarda, ek bir radyo frekansı (RF) yakalama kapasitesi seviyesi sağlamak için cihaza harici bir anten de takılmalıdır. Bluetooth gibi diğer kablosuz teknolojiler için destek, ek kablosuz tehditlerin ve güvenlik açıklarının varlığının değerlendirilmesine yardımcı olacaktır. Standart olmayan teknolojiyi veya tarama aletinin RF aralığı dışındaki frekansları kullanan cihazların, tarama aracı tarafından algılanmayacağını veya düzgün bir şekilde tanınmayacağını unutmayın. RF spektrum analizörü gibi bir araç, organizasyonlara spektrum analizörünün frekans aralığında meydana gelen aktarımları tanımlamada yardımcı olacaktır. Spektrum analizörleri genellikle geniş bir frekans aralığını (ör. 3 ila 18 GHz) analiz eder ve bu cihazlar trafiği analiz etmese de, bir değerlendiricinin belirli bir frekans aralığında kablosuz etkinliği belirlemesini ve ek test ve incelemeleri buna göre uyarlamasını sağlar.

Bazı cihazlar ayrıca bir haritalama aracı kullanılarak haritalama ve fiziksel konum belirlemeyi destekler ve bazı durumlarda Küresel Konumlandırma Sistemi (GPS) tabanlı haritalamayı destekler. Gelişmiş kablosuz tarama araçları, kullanıcının, keşfedilen cihazların fiziksel konumunun belirlenmesine yardımcı olmak için bir kat planı veya harita almasına olanak tanır. (GPS’in kapalı alanlarda sınırlı yeteneklere sahip olduğuna dikkat etmek önemlidir.)

Güçlü bir kablosuz ağ anlayışına sahip kişiler – özellikle IEEE 802.11a / b / g / n teknolojileri – kablosuz tarama araçlarını kullanmalıdır. Bu operatörler, yakalanan bilgileri daha iyi anlamak ve potansiyel tehditleri veya kötü niyetli faaliyetleri tespit etmeye daha yatkın olmak için tarama araçlarının ve yazılımın işlevselliği ve kapasitesi konusunda eğitilmelidir.

15. IEEE 802.11 tabanlı WLAN’ların güvenliğini sağlamak için uygun önlemler için lütfen NIST SP 800-97’ye bakın, Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i, and NIST SP 800-48 Revizyon 1, Guide to Securing Legacy IEEE 802.11 Wireless Networks, http://csrc.nist.gov/publications/PubsSPs.html.

16. Daha fazla bilgi için NIST SP 800-94, Guide to Intrusion Detection and Prevention Systems (IDPS), adrese bakın; http://csrc.nist.gov/publications/PubsSPs.html.

Benzer kişiler kablosuz taramalardan elde edilen verileri ve sonuçları analiz etmek için beceriler kullanılmalıdır. Tarama aleti operatörleri, taranan alan dahilinde kullanım için izin verilen diğer RF sinyallerinden haberdar olmalıdır.

4.4.1 Pasif Kablosuz Ağ Taraması

WIDPS’ler gibi halihazırda mevcut olan kablosuz güvenlik önlemlerini desteklemek için düzenli olarak pasif tarama yapılmalıdır. 17 Tamamen pasif taramalar yapmak için kullanılan kablosuz tarama araçları, hiçbir veri iletmez ve araçlar, kullanılan kablosuz cihazların çalışmasını hiçbir şekilde etkilemez. Verileri aktarmayarak, pasif bir tarama aracı kötü niyetli kullanıcılar ve diğer cihazlar tarafından tespit edilmez. Bu, yetkisiz kablosuz cihazların bağlantısını keserek veya devre dışı bırakarak kişilerin tespit edilmekten kaçınma olasılığını azaltır.

Pasif tarama araçları, aletin anteninin menzili içinde aktarılan kablosuz trafiği yakalar. Çoğu araç, hizmet seti tanımlayıcısı (SSID), cihaz türü, kanal, ortam erişim denetimi (MAC) adresi, sinyal gücü ve aktarılan paket sayısı dahil olmak üzere keşfedilen kablosuz cihazlarla ilgili birkaç temel nitelik sağlar. Bu bilgiler, kablosuz ortamın güvenliğini değerlendirmek ve potansiyel hileli cihazları ve tarama cihazının menzili içinde keşfedilen yetkisiz ad hoc ağları tanımlamak için kullanılabilir. Kablosuz tarama aracı, herhangi bir operasyonel anormallik veya tehdit olup olmadığını belirlemek için yakalanan paketleri de değerlendirebilmelidir.

Kablosuz tarama araçları, her IEEE 802.11a / b / g / n kanalını / frekansını ayrı ayrı tarar, genellikle bir seferde yalnızca birkaç yüz milisaniye için. Pasif tarama aracı, belirli bir kanaldaki tüm iletimleri alamayabilir. Örneğin, araç, bir kablosuz aygıtın kanal 5’te bir paket ilettiği tam anda kanal 1’i tarıyor olabilir. Bu, aracın bekleme süresinin paketleri yakalamak için yeterince uzun, ancak yeterince kısa olmasını önemli kılar. her kanalı verimli bir şekilde tarayın. Bekleme süresi yapılandırmaları, kablosuz taramaları gerçekleştirmek için kullanılan cihaz veya araca bağlı olacaktır. Ek olarak, taramaları gerçekleştiren güvenlik personeli, tespit edilemeyen cihazların sayısını azaltmak için taranan alanda yavaşça hareket etmelidir.

Sahte cihazlar pasif tarama yoluyla birkaç şekilde tanımlanabilir:

Bulunan bir kablosuz aygıtın MAC adresi, aygıtın kablosuz arabiriminin satıcısını belirtir. Bir kuruluş yalnızca satıcılar A ve B’nin kablosuz arabirimlerini kullanıyorsa, diğer satıcılardan gelen arabirimlerin varlığı olası hileli aygıtları gösterir.

Bir kuruluş, dağıtılan kablosuz cihazlarının doğru kayıtlarına sahipse, değerlendiriciler keşfedilen cihazların MAC adreslerini yetkili cihazların MAC adresleriyle karşılaştırabilir. Çoğu tarama aracı, değerlendiricilerin yetkili cihazların bir listesine girmesine izin verir. MAC adresleri yanıltılabildiğinden, değerlendiriciler keşfedilen cihazların MAC adreslerinin doğru olduğunu varsaymamalıdır; ancak MAC adreslerini kontrol etmek, sahtekarlık kullanmayan hileli cihazları tanımlayabilir.

Sahte cihazlar, kuruluş tarafından yetkilendirilmemiş SSID’leri kullanabilir.

Bazı hileli cihazlar, kuruluş tarafından yetkilendirilen ancak kablosuz güvenlik yapılandırma gereksinimlerine uymayan SSID’leri kullanabilir.

Olası hileli cihazların sinyal gücü, cihazların tesis sınırları içinde mi yoksa taranan alanda mı bulunduğunu belirlemek için gözden geçirilmelidir.

17. Bazı ortamlarda, WIDPS uygulaması, pasif kablosuz tarama ile aynı işlevlerin çoğunu gerçekleştiriyor olabilir. Bazı WIDPS ürünleri, Bölümde açıklanan kablosuz tarama cihazı kurulumuna benzer mobil sensörler sunar.

4.4. WIDPS uygulamalarına sahip kuruluşlar, WIDPS işlevselliğini çoğaltmak yerine desteklemek için bu yayında açıklanan kablosuz tarama tekniklerini kullanmalıdır.

Kuruluşun sınırları dışında çalışan cihazlar, kuruluşun cihazları yanlışlıkla onlarla ilişkilendirilebileceğinden, yine de önemli riskler oluşturabilir.

4.4.2 Aktif Kablosuz Ağ Taraması

Kuruluşlar, aktif tarama gerçekleştirmek için pasif kablosuz taramanın ötesine geçebilirler. Bu, pasif taramalar sırasında toplanan bilgilere dayanır ve keşfedilen cihazlara bağlanmaya ve sızma veya güvenlik açığı ile ilgili testler yapmaya çalışır. Örneğin kuruluşlar, kimlik doğrulama mekanizmaları, veri şifreleme ve bu bilgiler başka yollarla zaten mevcut değilse yönetim erişimi dahil olmak üzere kablosuz güvenlik yapılandırma gereksinimlerini karşıladıklarından emin olmak için yetkili kablosuz cihazlarında etkin kablosuz tarama gerçekleştirebilirler.

Kuruluşlar, menzil dahilindeki komşu kuruluşların sahip olduğu veya işlettiği cihazları yanlışlıkla taramadıklarından emin olmak için aktif taramalar yaparken dikkatli olmalıdır. Cihazları aktif olarak taramadan önce fiziksel konumlarının değerlendirilmesi önemlidir. Kuruluşlar ayrıca, kuruluşun tesislerinde çalışıyor gibi görünen hileli cihazların etkin taramalarını gerçekleştirirken dikkatli olmalıdır.

Bu tür cihazlar, yanlışlıkla kablosuz erişimi etkinleştiren bir kuruluşun ziyaretçisine veya kuruluşun tesisine yakın ancak içinde olmayan bir cihaza sahip komşu bir kuruluşa ait olabilir. Genel olarak, kuruluşlar, bu tür cihazların etkin taramalarını gerçekleştirmek yerine potansiyel hileli cihazları belirlemeye ve konumlandırmaya odaklanmalıdır.

Kuruluşlar, kendi kablosuz cihazlarında sızma testi gerçekleştirirken aktif taramayı kullanabilir. Komut dosyası içeren saldırıları ve işlevleri kullanan, uygulanan güvenlik önlemlerini atlatmaya çalışan ve cihazların güvenlik düzeyini değerlendiren araçlar mevcuttur. Örneğin, kablosuz sızma testi yapmak için kullanılan araçlar, güvenlik yapılandırmalarını atlatmak için çeşitli yöntemlerle erişim noktalarına (AP) bağlanmaya çalışır. Araç AP’ye erişebilirse, bilgi alabilir ve AP’nin bağlı olduğu kablolu ağları ve kablosuz cihazları belirleyebilir. Bazı etkin araçlar, kablosuz istemci cihazlarında keşfedilen güvenlik açıklarını da belirleyebilir veya Bölüm 4’te özetlendiği gibi kablolu ağ güvenlik açığı testleri gerçekleştirebilir.

Aktif tarama gerçekleştirilirken, kuruluşun WIDPS’leri, yeteneklerini ve performanslarını değerlendirmek için izlenebilir. Değerlendirme hedeflerine bağlı olarak, bu taramaları gerçekleştiren değerlendiricilerin, WIDPS yöneticilerini ve kablosuz ağ yöneticilerini bekleyen taramalardan, onları olası alarmlara ve uyarılara hazırlamak için bilgilendirmesi gerekebilir. Ek olarak, bazı WIDPS’ler, tarama gerçekleştirmek için kullanılanlar gibi belirli bir cihaz tarafından tetiklenen alarmları ve uyarıları yok sayacak şekilde yapılandırılabilir.

Yetkisiz cihazları ve kablolu ağlardaki güvenlik açıklarını belirlemeye yönelik araçlar ve işlemler, hileli ve yanlış yapılandırılmış kablosuz cihazları tanımlamak için de kullanılabilir. Kablolu taraf tarama, hileli kablosuz cihazları keşfetmek ve muhtemelen bulmak için gerçekleştirilebilecek başka bir işlemdir. Bölüm 3.5 ve 4.1 kablolu taramayı tartışır.

4.4.3 Kablosuz Cihaz Konum Takibi

Kablosuz tarama aracını çalıştıran güvenlik personeli, şüpheli aygıtları bulmaya çalışmalıdır. RF sinyalleri ortama göre bir şekilde yayılır, bu da operatörün kablosuz teknolojinin bu süreci nasıl desteklediğini anlamasını önemli kılar. Haritalama yetenekleri burada yararlıdır, ancak bu özelliği desteklemek için gereken ana faktörler, bilgili bir operatör ve uygun bir kablosuz antendir.

Kablosuz tarama sırasında hileli cihazlar keşfedilir ve fiziksel olarak yerleştirilirse, güvenlik personeli, hileli cihazın nasıl kullanıldığına ilişkin belirli politikaların ve işlemlerin (ör. Cihazı kapatma, kuruluşun politikalarına uyacak şekilde yeniden yapılandırılması veya cihaz tamamen güvenlik personeli el konulmadan önce hileli cihazın faaliyetini değerlendirmelidir. Bu, iletimleri izleyerek ve cihaza erişmeye çalışarak yapılabilir.

Bulunan kablosuz aygıtlar tarama sırasında bulunamazsa, güvenlik personeli bulunan aygıtların yerini desteklemek için bir WIDPS kullanmaya çalışmalıdır. Bu, WIDPS’nin tarama sırasında keşfedilen belirli bir MAC adresini bulmasını gerektirir. Düzgün bir şekilde dağıtılan WIDPS’ler, güvenlik personeline bu aygıtları bulmada yardımcı olma becerisine sahip olmalıdır ve genellikle konum tanımlama ayrıntı düzeyini artırmak için birden çok WIDPS sensörünün kullanılmasını içerir. WIDPS bir aygıtı yalnızca birkaç fit içinde bulabileceğinden, aygıtın yerini tam olarak belirlemek için kablosuz bir tarama aracına yine de ihtiyaç duyulabilir.

4.4.4 Bluetooth Taraması

Bluetooth güvenlik gereksinimleriyle uyumluluğu onaylamak isteyen kuruluşlar için, potansiyel iletişim durumunu ve etkinliği değerlendirmek için Bluetooth özellikli kablosuz cihazlar için pasif tarama yapılmalıdır. Bluetooth çok kısa bir menzile sahip olduğu için (ortalama 9 metre [30 fit], bazı cihazlar 1 metre [3 fit] kadar küçük menzile sahip), cihazları taramak zor ve zaman alıcı olabilir. Değerlendiriciler, bu tür taramaların kapsamını belirlerken aralık sınırlamalarını dikkate almalıdır. Kuruluşlar, tesislerinin yalnızca halk tarafından erişilebilen alanlarında tarama gerçekleştirmek (saldırganların cihazlara Bluetooth aracılığıyla erişip erişemeyeceğini görmek için) veya tüm tesis yerine fiziksel konumların bir örnekleminde tarama gerçekleştirmek isteyebilirler. Çoğu Bluetooth özellikli aygıt (cep telefonları ve kişisel dijital asistanlar [PDA] gibi) mobil olduğundan, belirli bir süre içinde birkaç kez pasif tarama yapılması gerekebilir. Kuruluşlar ayrıca dağıttıkları erişim noktaları gibi herhangi bir Bluetooth altyapısını da taramalıdır. Yetkisiz erişim noktaları keşfedilirse, kuruluş bunları yerleşik politika ve süreçlere uygun olarak ele almalıdır.

Bluetooth cihazlarının güvenliğini ve çalışmasını aktif olarak test etmek için bir dizi araç mevcuttur. Bu araçlar, keşfedilen cihazlara bağlanmaya ve Bluetooth özellikli cihazlara gizlice erişim ve bağlantı sağlamak için saldırılar gerçekleştirmeye çalışır. Değerlendiriciler, birçok ortamda bulunan kişisel Bluetooth cihazlarını yanlışlıkla tarama olasılığından dolayı aktif tarama gerçekleştirirken son derece dikkatli olmalıdır. Genel bir kural olarak, değerlendiriciler, yalnızca taranan cihazların kuruluşa ait olduğundan emin olduklarında etkin taramayı kullanmalıdır. Etkin tarama, bir Bluetooth aygıtının çalıştığı güvenlik modunu ve Bluetooth şifre tanımlama numaralarının (PIN) gücünü değerlendirmek için kullanılabilir. Aktif tarama, bu cihazların menzillerini en aza indirmek için mümkün olan en düşük çalışma gücü ayarına ayarlandığını doğrulamak için de kullanılabilir. IEEE 802.11a / b / g hileli cihazlarda olduğu gibi, hileli Bluetooth cihazları da politikalara ve kılavuzluğa uygun olarak ele alınmalıdır.

4.5 Özet

Tablo 4-1, Bölüm 4’te tartışılan hedef belirleme ve analiz tekniklerinin temel yeteneklerini özetlemektedir.

Tablo 4-1. Hedef Tanımlama ve Analiz Teknikleri

Teknik  Yetenekler Ağ Keşfi •Aktif cihazların keşfedilmesi  •İletişim yollarını tanımlar ve ağ mimarilerinin belirlenmesini kolaylaştırır      Ağ Servis ve Port Tanımlaması •Aktif cihazların keşfedilmesi   •Açık bağlantı noktalarını ve ilişkili hizmetleri / uygulamaları keşfeder      

    Teknik Yetenekler Güvenlik Açığı Taraması • Ana bilgisayarları ve açık bağlantı noktalarını tanımlar  • Bilinen güvenlik açıklarını tanımlar (not: yüksek false-positive oranlarına sahiptir)   • Genellikle keşfedilen güvenlik açıklarının azaltılmasına yönelik tavsiyeler verir Kablosuz Ağ Taraması • Tarayıcıların menzilindeki yetkisiz kablosuz cihazları tanımlar  • Bir kuruluşun çevresi dışındaki kablosuz sinyalleri keşfeder   • Olası arka kapıları ve diğer güvenlik ihlallerini tespit eder

Her teknik ve teknik kombinasyonuyla ilişkili riskler vardır. Hepsinin güvenli ve doğru bir şekilde yürütülmesini sağlamak için, her değerlendiricinin belirli bir temel beceri setine sahip olması gerekir. Tablo 4-2, Bölüm 4’te sunulan her teknik için ihtiyaç duyulan minimum beceri seti için yönergeler sağlar.

Tablo 4-2. Hedef Tanımlama ve Analiz Teknikleri için Temel Beceri Seti

Teknik Temel Beceri SetiAğ Keşfi Genel TCP / IP ve ağ bilgisi; hem pasif hem de aktif ağ keşif araçlarını kullanma yeteneği       Ağ Servis ve Port Tanımlaması Genel TCP / IP ve ağ bilgisi; çeşitli işletim sistemleri için bağlantı noktaları ve protokoller bilgisi; bağlantı noktası tarama araçlarını kullanma yeteneği; araçlardan sonuçları yorumlama yeteneği             Genel TCP / IP ve ağ bilgisi; çeşitli işletim sistemleri için bağlantı noktaları, protokoller,Güvenlik Açığı Taraması izmetler ve güvenlik açıkları bilgisi; otomatik güvenlik açığı tarama araçlarını kullanma  ve sonuçları yorumlama / analiz etme yeteneği     Kablosuz protokoller, hizmetler ve mimarilerle ilgili belirli bilgilere ek olarak bilgi işlem veKablosuz Ağ Taraması radyo yayınlarına ilişkin genel bilgi; otomatik kablosuz tarama ve koklama araçlarını kullanma yeteneği      

5. Hedef Güvenlik Açığı Doğrulama Teknikleri

Bu bölüm, potansiyel güvenlik açıklarının varlığını daha fazla keşfetmek için hedef tanımlama ve analizden üretilen bilgileri kullanan hedef güvenlik açığı doğrulama tekniklerini ele almaktadır. Amaç, bir güvenlik açığının var olduğunu kanıtlamak ve bu güvenlik açığından yararlanıldığında ortaya çıkan güvenlik açıklarını göstermektir. Hedef güvenlik açığı doğrulaması, değerlendirmelerde en büyük miktarda riski içerir, çünkü bu teknikler hedef sistemi veya ağı diğer tekniklerden daha fazla etkileme potansiyeline sahiptir.

Uygulama güvenliği testi için hedef güvenlik açığı doğrulama teknikleri Ek C’de kısaca tartışılmıştır.

5.1 Şifre Kırma

Bir kullanıcı bir şifre girdiğinde, girilen şifrenin bir karması oluşturulur ve kullanıcının gerçek şifresinin depolanmış bir karması ile karşılaştırılır. Karmalar eşleşirse, kullanıcının kimliği doğrulanır. Parola kırma, bir bilgisayar sisteminde depolanan veya ağlar üzerinden iletilen parola karmalarından parolaları kurtarma işlemidir. Genellikle zayıf parolalara sahip hesapları belirlemek için değerlendirmeler sırasında gerçekleştirilir. Parola kırma, bir ağ üzerinden iletilirken bir ağ algılayıcısı tarafından yakalanan veya genellikle hedef sisteme yönetici düzeyinde erişim veya fiziksel erişim gerektiren hedef sistemden alınan karmalar üzerinde gerçekleştirilir. Bu karmalar elde edildikten sonra, otomatik bir şifre kırıcı, bir eşleşme bulunana veya değerlendirici kırma girişimini durdurana kadar hızla ek karmalar üretir.

Karmalar oluşturmak için bir yöntem, bir sözlük veya metin dosyasındaki tüm kelimeleri kullanan bir sözlük saldırısıdır. İnternette büyük ve küçük dilleri, isimleri, popüler televizyon programlarını vb. Kapsayan çok sayıda sözlük bulunmaktadır. Başka bir kırma yöntemi, sözlük kelimelerine sayısal ve sembolik karakterler ekleyerek sözlük yöntemini temel alan karma saldırı olarak bilinir. Kullanılan şifre kırıcıya bağlı olarak, bu tür saldırılar, harf yerine yaygın karakter ve sayı ikameleri (örneğin, p @ ssword ve h4ckme) kullanmak gibi bir dizi varyasyonu deneyebilir. Bazıları ayrıca sözlük kelimelerinin başına ve sonuna karakter ve sayı eklemeyi deneyecektir (ör. Parola99, parola $%).

Yine başka bir şifre kırma yöntemine kaba kuvvet yöntemi denir. Bu, belirli bir uzunluğa kadar tüm olası şifreleri ve bunlarla ilişkili karmalarını oluşturur. Çok fazla olasılık olduğundan, bir şifreyi kırmak aylar sürebilir. Kaba kuvvet uzun zaman alabilse de, çoğu parola ilkesinin parola değişikliği için belirlediğinden çok daha kısa sürer. Sonuç olarak, kaba kuvvet saldırıları sırasında bulunan şifreler hala çok zayıf. Teorik olarak, tüm parolalar, yeterli zaman ve işlem gücü verildiğinde, yıllarca sürebilmesine ve ciddi bir hesaplama gücü gerektirmesine rağmen, kaba kuvvet saldırısıyla kırılabilir. Değerlendiriciler ve saldırganlar genellikle, parola kırma görevini yayabilecekleri birden fazla makineye sahiptir ve bu da süreyi büyük ölçüde kısaltır.

Parola kırma, önceden hesaplanmış parola sağlamalarına sahip arama tabloları olan gökkuşağı tablolarıyla da gerçekleştirilebilir. Örneğin, belirli bir karakter uzunluğuna kadar belirli bir karakter seti için olası her parolayı içeren bir gökkuşağı tablosu oluşturulabilir. Değerlendiriciler daha sonra, kırmaya çalıştıkları parola karmaları için tabloda arama yapabilir. Gökkuşağı tabloları büyük miktarda depolama alanı gerektirir ve oluşturulması uzun zaman alabilir, ancak birincil eksiklikleri, tuzlama kullanan parola bozma işlemine karşı etkisiz olmalarıdır. Salting, aynı şifrelerin aynı karma değeri döndürme olasılığını azaltan şifre karma işlemine rastgele bir bilgi parçasının dahil edilmesidir. Rainbow masaları, tuzlamayı hesaba katmadan doğru sonuçlar vermez – ancak bu, masaların gerektirdiği saklama alanı miktarını önemli ölçüde artırır. Birçok işletim sistemi, gökkuşağı tablolarının ve diğer şifre kırma biçimlerinin etkinliğini azaltmak için karmaşık parola karma mekanizmaları kullanır.

Parola kırıcıları, kabul edilebilir parola bileşimini doğrulayarak politika uyumluluğunu sağlamak için bir değerlendirme sırasında çalıştırılabilir. Örneğin, kuruluşun bir parola sona erme politikası varsa, parola kırıcıları, istenen parola yaşam süresine denk gelen aralıklarla çalıştırılabilir. Çevrimdışı gerçekleştirilen parola kırma, sistem veya ağ üzerinde çok az etki yaratır veya hiç etki etmez ve bu işlemin faydaları arasında kuruluşun parola politikasının doğrulanması ve politika uygunluğunun doğrulanması yer alır.

5.2 Sızma Testi

Sızma testi, değerlendiricilerin bir uygulamanın, sistemin veya ağın güvenlik özelliklerini atlatmaya yönelik yöntemleri belirlemek için gerçek dünyadaki saldırıları taklit ettikleri güvenlik testidir. Genellikle saldırganlar tarafından yaygın olarak kullanılan araçları ve teknikleri kullanan gerçek sistemlere ve verilere gerçek saldırılar başlatmayı içerir. Sızma testlerinin çoğu, tek bir güvenlik açığıyla elde edilebilecek olandan daha fazla erişim elde etmek için kullanılabilecek bir veya daha fazla sistemde güvenlik açığı kombinasyonlarının aranmasını içerir. Sızma testi, aşağıdakilerin belirlenmesi için de yararlı olabilir:

Sistem, gerçek dünya tarzı saldırı modellerini ne kadar iyi tolere ediyor?

Bir saldırganın sistemi başarıyla tehlikeye atması için ihtiyaç duyduğu olası karmaşıklık düzeyi

Sisteme yönelik tehditleri azaltabilecek ek önlemler

Savunucuların saldırıları tespit etme ve uygun şekilde yanıt verme yeteneği.

Sızma testi çok değerli olabilir, ancak yoğun emek gerektirir ve hedeflenen sistemlere yönelik riski en aza indirmek için büyük uzmanlık gerektirir. Kuruluş, bir sistemin bir davetsiz misafir tarafından nasıl çalışmaz hale getirilebileceğini bilmekten yararlansa da, sızma testi sırasında sistemler hasar görebilir veya başka bir şekilde çalışmaz hale gelebilir. Deneyimli sızma testi uzmanları bu riski azaltabilirse de, asla tamamen ortadan kaldırılamaz. Sızma testi yalnızca dikkatli bir değerlendirme, bildirim ve planlamadan sonra yapılmalıdır.

Sızma testi genellikle teknik olmayan saldırı yöntemlerini içerir. Örneğin, bir sızma test cihazı bir ağa bağlanmak, ekipmanı çalmak, hassas bilgileri yakalamak (muhtemelen tuş kaydedici aygıtlar kurarak) veya iletişimi kesintiye uğratmak için fiziksel güvenlik kontrollerini ve prosedürlerini ihlal edebilir. Fiziksel güvenlik testi yapılırken dikkatli olunmalıdır — güvenlik görevlileri, bir temas noktası veya dokümantasyon gibi test kullanıcısı etkinliğinin geçerliliğini nasıl doğrulayacakları konusunda bilgilendirilmelidir. Teknik olmayan bir diğer saldırı yöntemi, bir yardım masası aracısı olarak görünmek ve bir kullanıcının şifrelerini istemek için aramak veya bir kullanıcı kılığında yardım masasını aramak ve bir şifrenin sıfırlanmasını istemek gibi sosyal mühendislik kullanımıdır. Fiziksel güvenlik testleri, sosyal mühendislik teknikleri ve sızma testine dahil edilen diğer teknik olmayan saldırı araçları hakkında ek bilgiler bu yayının kapsamı dışındadır.

5.2.1 Sızma Testi Aşamaları

Şekil 5-1 sızma testinin dört aşamasını temsil etmektedir.18 Planlama aşamasında kurallar belirlenir, yönetim onayı nihai hale getirilir ve belgelenir ve test hedefleri belirlenir. Planlama aşaması, başarılı bir sızma testi için zemin hazırlar. Bu aşamada hiçbir gerçek test yapılmaz.

18. Bu, sızma sürecinin aşamalara nasıl bölünebileceğinin bir örneğidir. Sızma testinin gerçekleştirilmesiyle ilgili eylemleri gruplamanın birçok kabul edilebilir yolu vardır.

Ek Keşif Yöntemleri

Planlama Keşif Atak

Raporlama

Şekil 5-1. Dört Aşamalı Sızma Testi Metodolojisi

Sızma testinin keşif aşaması iki bölümden oluşmaktadır. İlk bölüm, gerçek testin başlangıcıdır ve bilgi toplama ve taramayı kapsar. Bölüm 4.2’de açıklanan ağ bağlantı noktası ve hizmet tanımlaması, potansiyel hedefleri belirlemek için yapılır. Bağlantı noktası ve hizmet tanımlamasına ek olarak, hedeflenen ağ hakkında bilgi toplamak için başka teknikler kullanılır:

Ana bilgisayar adı ve IP adresi bilgileri, DNS sorgulama, InterNIC (WHOIS) sorguları ve ağ sniffing (genellikle yalnızca dahili testler sırasında) dahil olmak üzere birçok yöntemle toplanabilir.

Çalışan adları ve iletişim bilgileri, kuruluşun Web sunucularında veya dizin sunucularında arama yapılarak elde edilebilir

Adlar ve paylaşımlar gibi sistem bilgileri, NetBIOS numaralandırması (genellikle yalnızca dahili testler sırasında) ve Ağ Bilgi Sistemi (NIS) (genellikle yalnızca dahili testler sırasında) gibi yöntemlerle bulunabilir.

Sürüm numaraları gibi uygulama ve hizmet bilgileri, başlık kapma yoluyla kaydedilebilir.

Bazı durumlarda, hedeflenen ağ hakkında ek bilgi toplamak için derin dalış ve tesislerin fiziksel gözden geçirmeleri gibi teknikler kullanılabilir ve ayrıca kağıt üzerine yazılan şifreler gibi sızma testleri sırasında kullanılacak ek bilgileri ortaya çıkarabilir.

Keşif aşamasının ikinci bölümü, taranan ana bilgisayarların hizmetlerini, uygulamalarını ve işletim sistemlerini güvenlik açığı veritabanları (güvenlik açığı tarayıcıları için otomatik olan bir süreç) ve test uzmanlarının güvenlik açıkları hakkındaki kendi bilgileriyle karşılaştırmayı içeren güvenlik açığı analizidir. İnsan test uzmanları, güvenlik açıklarını manuel olarak belirlemek için kendi veritabanlarını veya National Vulnerability Database (NVD) gibi halka açık veritabanlarını kullanabilir. Ek E, bu genel kullanıma açık güvenlik açığı veritabanları hakkında daha fazla bilgi içerir. Manuel süreçler, otomatik tarayıcıların gözden kaçırabileceği, ancak otomatik bir tarayıcıdan çok daha yavaş olan yeni veya belirsiz güvenlik açıklarını belirleyebilir.

Saldırı yapmak, herhangi bir sızma testinin merkezinde yer alır. Şekil 5-2, saldırı aşamasının ayrı adımlarını temsil etmektedir – önceden tanımlanmış olası güvenlik açıklarından yararlanmaya çalışarak bunları doğrulama süreci. Bir saldırı başarılı olursa, güvenlik açığı doğrulanır ve ilgili güvenlik açığını azaltmak için önlemler belirlenir. Çoğu durumda, yürütülen istismarlar19

19. Exploit programları veya komut dosyaları, belirli güvenlik açıklarından yararlanmak için özel araçlardır. Ücretsiz araçlar için geçerli olan uyarılar, istismar programları ve betikleri için de geçerlidir. Bugtraq (http://www.securityfocus.com/ adresinde mevcuttur) dahil olmak üzere bazı güvenlik açığı veritabanları, tanımlanmış birçok güvenlik açığı için yararlanma talimatları veya kod sağlar.

bir saldırgana maksimum potansiyel erişim düzeyini sağlamaz. Bunun yerine, testçilerin hedeflenen ağ ve potansiyel güvenlik açıkları hakkında daha fazla bilgi edinmesine veya hedeflenen ağın güvenliğinin durumunda bir değişikliğe neden olabilir. Bazı istismarlar, test uzmanlarının ek kaynaklara erişim elde etmek için sistem veya ağ üzerindeki ayrıcalıklarını artırmalarına olanak tanır. Bu meydana gelirse, sistemden toplanabilen, değiştirilebilen veya kaldırılabilen bilgi türlerinin belirlenmesi gibi ağ için gerçek risk düzeyini belirlemek için ek analizler ve testler gerekir. Belirli bir güvenlik açığına yönelik bir saldırının imkansız olduğu ortaya çıktığında, test uzmanı keşfedilen başka bir güvenlik açığından yararlanmaya çalışmalıdır. Test uzmanları bir güvenlik açığından yararlanabiliyorsa, test sürecini kolaylaştırmak için hedef sisteme veya ağa daha fazla araç yükleyebilirler. Bu araçlar, ağdaki ek sistemlere veya kaynaklara erişim sağlamak ve ağ veya kuruluş hakkındaki bilgilere erişim sağlamak için kullanılır. Bir düşmanın elde edebileceği erişim düzeyini belirlemek için bir sızma testi sırasında birden fazla sistem üzerinde test ve analiz yapılmalıdır. Bu süreç, bir sızma testinin saldırı ve keşif aşaması arasındaki Şekil 5-1’deki geri bildirim döngüsünde gösterilmektedir.

Şekil 5-2. Keşif Aşamasına Geri Döngü ile Saldırı Aşaması Adımları

Güvenlik açığı tarayıcıları yalnızca olası bir güvenlik açığının varlığını kontrol ederken, bir sızma testinin saldırı aşaması, varlığını doğrulamak için güvenlik açığından yararlanır. Sızma testi tarafından kötüye kullanılan güvenlik açıklarının çoğu aşağıdaki kategorilere girer:

Yanlış yapılandırmalar.

Yanlış yapılandırılmış güvenlik ayarları, özellikle de güvenli olmayan varsayılan ayarlar genellikle kolayca kullanılabilir.

Kernel Kusurları.

Çekirdek kodu, bir işletim sisteminin özüdür ve sistem için genel güvenlik modelini uygular – böylece çekirdekteki herhangi bir güvenlik kusuru tüm sistemi tehlikeye atar.

Arabellek Taşmaları(Buffer Overflows).

Programlar girişi uygun uzunluk için yeterince kontrol etmediğinde bir arabellek taşması meydana gelir. Bu meydana geldiğinde, sisteme isteğe bağlı kod eklenebilir ve çalışan programın ayrıcalıklarıyla (genellikle yönetim düzeyinde) çalıştırılabilir.

Yetersiz Giriş Doğrulaması.

Çoğu uygulama, kullanıcılardan aldıkları girdiyi tam olarak doğrulayamaz. Bir örnek, bir kullanıcıdan gelen bir değeri bir veritabanı sorgusuna yerleştiren bir Web uygulamasıdır. Kullanıcı, istenen değer yerine veya buna ek olarak SQL komutları girerse ve Web uygulaması SQL komutlarını filtrelemezse, sorgu kullanıcının istediği kötü niyetli değişikliklerle çalıştırılabilir ve bu, SQL enjeksiyon saldırısı olarak bilinen duruma neden olur.

Sembolik Bağlantılar.

Sembolik bağ (sembolik bağ), başka bir dosyaya işaret eden bir dosyadır. İşletim sistemleri, bir dosyaya verilen izinleri değiştirebilen programları içerir. Bu programlar ayrıcalıklı izinlerle çalışırsa, kullanıcı stratejik olarak sembolik bağlantılar oluşturarak bu programları kritik sistem dosyalarını değiştirmeye veya listelemeye yönlendirebilir.

Dosya Tanımlayıcı Saldırıları.

Dosya tanımlayıcıları, sistem tarafından dosya adları yerine dosyaları izlemek için kullanılan sayılardır. Belirli dosya tanımlayıcı türleri, kullanımları ima etmiştir. Ayrıcalıklı bir program uygunsuz bir dosya tanımlayıcı atadığında, bu dosyayı tehlikeye atar.

Yarış koşulları.

Yarış koşulları, bir programın veya işlemin ayrıcalıklı bir moda girdiği sırada ortaya çıkabilir. Bir kullanıcı, program veya işlem hala ayrıcalıklı moddayken yükseltilmiş ayrıcalıklardan yararlanmak için bir saldırıya zaman ayırabilir

Yanlış Dosya ve Dizin İzinleri.

Dosya ve dizin izinleri, kullanıcılara ve işlemlere atanan erişimi kontrol eder. Yetersiz izinler, parola dosyalarının okunması veya yazılması ya da güvenilen uzak ana bilgisayarlar listesine eklemeler dahil olmak üzere birçok saldırı türüne izin verebilir.

Raporlama aşaması, sızma testinin diğer üç aşamasıyla aynı anda gerçekleşir (bkz. Şekil 5-1). Planlama aşamasında, değerlendirme planı veya ROE geliştirilir. Keşif ve saldırı aşamalarında genellikle yazılı günlükler tutulur ve sistem yöneticilerine ve / veya yönetime periyodik raporlar yapılır. Testin sonunda, genellikle tanımlanan güvenlik açıklarını tanımlamak, bir risk derecelendirmesi sunmak ve keşfedilen zayıflıkların nasıl azaltılacağına dair rehberlik etmek için bir rapor geliştirilir. Bölüm 8, raporlama gibi test sonrası faaliyetleri daha ayrıntılı olarak tartışmaktadır.

5.2.2 Sızma Testi Lojistiği

Sızma testi senaryoları, bir uygulamanın, sistemin veya ağın tasarımında ve uygulamasında yararlanılabilir kusurları bulmaya ve hedeflemeye odaklanmalıdır. Testler, yöneticiler tarafından yapılan kötü niyetli eylemler gibi en kötü senaryolar dahil olmak üzere hem en olası hem de en zarar verici saldırı modellerini yeniden üretmelidir. Bir sızma testi senaryosu, bir iç saldırıyı, bir dış saldırıyı veya her ikisini simüle etmek için tasarlanabildiğinden, harici ve dahili güvenlik testi yöntemleri dikkate alınır. Hem dahili hem de harici test yapılacaksa, genellikle önce harici test yapılır.

Dışarıdan gelen senaryolar, hedef hakkında çok az bilgiye sahip olan veya hiç bilgisi olmayan ve tamamen varsayımlarla çalışan dışarıdan saldırganı simüle eder. Harici bir saldırıyı simüle etmek için, test uzmanlarına hedeflenen IP adresleri veya adres aralıkları dışında hedef ortam hakkında hiçbir gerçek bilgi verilmez20 ve hedefler hakkında genel Web sayfalarından, haber gruplarından ve benzer sitelerden bilgi toplayarak açık kaynak araştırması gerçekleştirir. Bağlantı noktası tarayıcıları ve güvenlik açığı tarayıcıları daha sonra hedef ana bilgisayarları tanımlamak için kullanılır. Test uzmanlarının trafiği genellikle bir güvenlik duvarından geçtiği için, taramadan elde edilen bilgi miktarı, testin içeriden bir bakış açısıyla yapıldığına göre çok daha azdır. Ağ üzerinde dışarıdan erişilebilen ana bilgisayarları belirledikten sonra, test uzmanları ana bilgisayarlardan birini tehlikeye atmaya çalışır.

20. Hedef olarak kullanılacak yetkili IP adreslerinin bir listesi verilirse, değerlendiriciler test başlamadan önce tüm genel adreslerin (yani, özel olmayan, yönlendirilemeyen adresler) kuruluşun yetkisi altında olduğunu doğrulamalıdır. Alan adı kayıt bilgilerini sağlayan web siteleri (örneğin, WHOIS) adres alanlarının sahiplerini belirlemek için kullanılabilir.

Başarılı olursa, bu erişim daha sonra ağ dışından genel olarak erişilemeyen diğer ana bilgisayarların güvenliğini aşmak için kullanılabilir. Sızma testi, daha fazla erişim sağlamak için minimum erişimden yararlanan yinelemeli bir süreçtir.

İçeriden öğrenilen senaryolar, içerideki kötü niyetli bir kişinin eylemlerini simüle eder. Dahili bir sızma testi, harici bir teste benzer, ancak test uzmanlarının dahili ağda (yani, güvenlik duvarının arkasında) olması ve ağa veya belirli ağ sistemlerine bir miktar erişim izni verilmiş olması dışında. Bu erişimi kullanarak, sızma testi uzmanları, ayrıcalık yükseltme yoluyla ağa ve sistemlerine daha yüksek bir erişim düzeyi elde etmeye çalışır. Test uzmanlarına, erişim seviyelerine sahip birinin normalde sahip olacağı ağ bilgileri sağlanır – genellikle standart bir çalışan olarak, ancak testin hedeflerine bağlı olarak bunun yerine bir sistem veya ağ yöneticisinin sahip olabileceği bilgiler olabilir.

Sızma testi, bir kuruluşun ağındaki güvenlik açığını ve ağ tehlikeye girdiğinde ortaya çıkabilecek hasar düzeyini belirlemek için önemlidir. Bir kuruluşun politikalarına bağlı olarak, test uzmanlarının belirli araçları veya teknikleri kullanmasının yasaklanabileceğini veya bunları yalnızca günün belirli saatlerinde veya haftanın belirli günlerinde kullanmakla sınırlı olabileceğinin farkında olmak önemlidir. Sızma testi, üretim sistemlerine ve verilerine karşı gerçek istismarlar ve saldırılar kullandığı için kuruluşun ağları ve sistemleri için de yüksek risk oluşturur. Yüksek maliyeti ve potansiyel etkisi nedeniyle, bir kuruluşun ağının ve sistemlerinin yıllık bazda sızma testi yeterli olabilir. Ayrıca sızma testi, ek bir eylemin hasara neden olacağı bir noktaya ulaştığında test cihazı durdurulacak şekilde tasarlanabilir. Sızma testinin sonuçları ciddiye alınmalı ve keşfedilen tüm güvenlik açıkları azaltılmalıdır. Sonuçlar mevcut olduğunda kuruluşun yöneticilerine sunulmalıdır. Kuruluşlar, gerekli güvenlik duruşlarını sürdürdüklerinden emin olmak için düzenli olarak daha az emek-yoğun test faaliyetleri yürütmeyi düşünmelidir. Düzenli olarak planlanan ağ ve güvenlik açığı taramasından oluşan iyi tasarlanmış bir program, periyodik sızma testlerinin arasına serpiştirilmiş, birçok saldırı türünü önlemeye ve başarılı olanların potansiyel etkisini azaltmaya yardımcı olabilir.

5.3 Sosyal Mühendislik

Sosyal mühendislik, bir kişiyi sistemlere veya ağlara saldırmak için kullanılabilecek bilgileri (ör. Bir şifre) açıklaması için kandırma girişimidir. İnsan unsurunu ve kullanıcının güvenlik konusundaki farkındalığını test etmek için kullanılır ve standart prosedürlere uymamak gibi kullanıcı davranışındaki zayıflıkları ortaya çıkarabilir. Sosyal mühendislik, analog (örneğin, yüz yüze veya telefonla yapılan görüşmeler) ve dijital (örneğin, e-posta, anlık mesajlaşma) dahil olmak üzere birçok yolla gerçekleştirilebilir. Saldırganların kredi kartı numaraları, Sosyal Güvenlik numaraları, kullanıcı kimlikleri ve parolalar gibi bilgileri çalmaya çalıştıkları dijital sosyal mühendislik yöntemlerinden biri kimlik avı olarak bilinir. Kimlik avı, bilgi istemek veya kullanıcıları bilgi toplamak için sahte bir Web sitesine yönlendirmek için gerçek görünümlü e-postalar kullanır. Dijital sosyal mühendisliğin diğer örnekleri arasında sahte e-postalar hazırlamak ve solucan aktivitesini taklit edebilecek ekler göndermek sayılabilir.

Sosyal mühendislik, yöneticiler gibi organizasyondaki belirli yüksek değerli bireyleri veya grupları hedeflemek için kullanılabilir veya geniş bir hedef kümesine sahip olabilir. Kuruluş mevcut bir tehdidi bildiğinde veya bir kişiden veya belirli bir grup kişiden bilgi kaybının önemli bir etkisi olabileceğini düşündüğünde, belirli hedefler belirlenebilir. Örneğin, kimlik avı saldırıları, belirli kişiler hakkında herkese açık bilgilere (ör. Başlıklar, ilgi alanları) dayalı olarak hedeflenebilir. Bireysel hedefleme, test uzmanları bilgileri başarıyla ortaya çıkarırsa veya erişim elde ederse, bu kişiler için utanç verici olabilir. Sosyal mühendislik testlerinin sonuçlarının, bireyleri ayırmak için değil, kuruluşun güvenliğini artırmak için kullanılması önemlidir. Test uzmanları, kullanılan hem başarılı hem de başarısız taktikleri tanımlayan ayrıntılı bir nihai rapor hazırlamalıdır. Bu düzeyde ayrıntı, kuruluşların güvenlik bilinci eğitim programlarını uyarlamalarına yardımcı olacaktır.

5.4 Özet

Her bilgi güvenliği test tekniğinin kendi güçlü ve zayıf yönleri vardır. Tablo 5-1, Bölüm 5’te tartışılan test tekniklerini karşılaştırmaktadır.

Tablo 5-1. Hedef Güvenlik Açığı Doğrulama TeknikleriTeknikYetenekler Şifre Kırma • Zayıf şifreleri ve şifre politikalarını tanımlar     Sızma Testi • Saldırganların kullandığı yöntem ve araçları kullanarak güvenliği test eder  • Güvenlik açıklarını doğrular   • Daha fazla erişim elde etmek için güvenlik açıklarından yinelemeli olarak nasıl yararlanılabileceğini gösterir Sosyal Mühendislik • Hem prosedürlerin hem de insan unsurunun test edilmesine izin verir (kullanıcı bilinci)    

Riskler tüm teknikler ve teknik kombinasyonları ile ilişkilidir. Her tekniğin güvenli ve doğru bir şekilde yürütüldüğünden emin olmak için, test uzmanlarının belirli bir temel beceri setine sahip olması gerekir. Tablo 5-2, bu kılavuzda sunulan test teknikleri için gereken minimum beceri setlerine ilişkin rehberlik sağlar.

Tablo 5-2. Güvenlik Testi Bilgi, Beceri ve YeteneklerTeknikTemel Beceri Seti  Şifre Kırma  İşletim sistemleri için güvenli parola oluşturma ve parola saklama bilgisi;   otomatik kırma araçlarını kullanma yeteneği            Sızma Testi  Kapsamlı TCP / IP, ağ iletişimi ve işletim sistemi bilgisi; ağ ve sistem açıkları ve istismarlarına ilişkin ileri düzeyde bilgi; güvenlik   tespitinden kaçmak için teknikler bilgisi           Sosyal Mühendislik  İnsanları etkileme ve ikna etme yeteneği; baskı altında sakin kalma yeteneği      

6. Güvenlik Değerlendirme Planlaması

Başarılı bir güvenlik değerlendirmesi için doğru planlama çok önemlidir. Bu bölüm, bir değerlendirme politikası oluşturma, değerlendirmeleri önceliklendirme ve planlama, uygun değerlendirme yaklaşımını seçme ve lojistik hususları ele alma konusunda rehberlik sağlar. Ayrıca, bir değerlendirme planı geliştirmek için öneriler sağlar ve kuruluşların ele alması gerekebilecek değerlendirmeyle ilgili yasal hususları ana hatlarıyla belirtir.

6.1 Güvenlik Değerlendirme Politikasının Geliştirilmesi

Kuruluşlar, güvenlik değerlendirmeleri için yön ve rehberlik sağlamak için bir bilgi güvenliği değerlendirme politikası geliştirmelidir. Bu politika, güvenlik değerlendirme gereksinimlerini belirlemeli ve değerlendirmelerin gereksinimlere uygun olmasını sağlamaktan sorumlu kişileri sorumlu tutmalıdır. Şunları ele almalıdır:

  • Değerlendirmelerin uyması gereken organizasyon gereksinimleri
  • Uygun roller ve sorumluluklar (en azından değerlendirmeleri onaylayan ve yürüten kişiler için)
  • Yerleşik metodolojiye bağlılık
  • Değerlendirme sıklığı
  • Değerlendirme planları ve değerlendirme sonuçları gibi dokümantasyon gereksinimleri.

Politika, uygun üst düzey yetkililer tarafından geliştirilip onaylandıktan sonra uygun personele yayılmalıdır – bunlar Baş Bilgi Sorumlusu (CIO), Baş Bilgi Güvenliği Görevlisi (CISO) ve Baş Teknoloji Sorumlusu (CTO) ofislerini içerebilir. Liderlik ayrıca, politikayı değerlendirme yapacak üçüncü şahıslara da iletmelidir.

Kuruluşların değerlendirme politikalarını en az yılda bir kez ve değerlendirmeyle ilgili yeni gereksinimler olduğunda gözden geçirmeleri önerilir. Bu incelemeler, politikanın devam eden uygulanabilirliğini belirleyecek, gerekli değişiklikleri ele alacak ve öğrenilen dersleri dahil etmek için fırsatlar sağlayacaktır.

6.2 Değerlendirme Önceliklendirmesi ve Planlaması

Planlamanın bir parçası olarak, kuruluşlar hangi sistemlerin teknik güvenlik değerlendirmesinden geçmesi gerektiğine ve bu değerlendirmelerin ne sıklıkla yapılması gerektiğine karar vermelidir. Bu önceliklendirme, sistem kategorizasyonuna, beklenen faydalara, programlama gereksinimlerine ve değerlendirmenin bir gereklilik olduğu geçerli düzenlemelere dayalıdır. İyi bir başlangıç ​​noktası, güvenlik değerlendirmesi için sistem kategorizasyonunu ve ilgili gereksinimleri değerlendirmektir. Burada, ilerlemek için bir program belirlemek için sistemin etki derecelendirmesinin (ör. Düşük, orta, yüksek) 21 ve güvenlik değerlendirme durumunun (ör. En son ne zaman bir değerlendirmenin gerçekleştirildiği) değerlendirilmesi gerekir.

21. FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, bir kuruluşun bilgi sistemlerinin güvenlik kategorisini belirlemeye yönelik standartlar sağlar ve bu, test amacıyla bu sistemlerin öncelik sıralamasını geliştirmede yardımcı olabilir. FIPS PUB 199 şu adresten indirilebilir: http://csrc.nist.gov/publications/PubsFIPS.html.

Örneğin, kuruluşlar genellikle orta etkili bir sistemden önce yüksek etkili bir sistemi değerlendirmelidir – ancak gecikmiş orta etkili bir sistemin, son güvenlik değerlendirmesi hala kabul edilebilir zaman çerçevesi içinde olan yüksek etkili bir sistemden önce değerlendirilmesi gerekebilir. Sürekli izlemenin bir parçası olarak, 22 bir dizi NIST SP 800-53 güvenlik kontrolü de sürekli olarak test edilmelidir.23

Değerlendirme sıklığı, genellikle bir kuruluşun belirli düzenlemelere veya politikalara uygunluğunu gösterme gereksinimlerine bağlıdır. Örneğin, FISMA, riske bağlı olarak en az yılda bir kez yapılması gereken periyodik testler gerektirir. NIST SPs 800- 53 ve 800-53A, kuruluşlara güvenlik değerlendirmeleri yapma sıklığı ile ilgili öneriler sağlar. Bir değerlendirme, belirli bir zaman noktasında güvenliğin anlık görüntüsünü sağladığı için, kuruluşlar daha sık değerlendirmeler yapmayı tercih edebilir.

Önemli teknik hususlar da test sıklığının belirlenmesine yardımcı olabilir. Örneğin, bir sistemin birkaç zayıf yönüne sahip olduğuna inanılırsa, zayıflıkların varlığını doğrulamak için testler daha erken yapılabilir veya çözüldüklerini doğrulamak için zayıflıklar hafifletilene kadar ertelenebilir. Kullanılan zamanlama, test hedefine bağlıdır. Göz önünde bulundurulması gereken diğer bir husus, testin gerektirdiği herhangi bir sistem veya ağ faaliyetinin ortamın işlevselliğini veya güvenliğini etkileyip etkilemeyeceğidir – örneğin, büyük bir yükseltme yapılacaksa, test, yükseltme tamamlanana kadar ertelenebilir. Teknik değerlendirmenin başka bir örneği, bir kuruluşun kablolu ağlarda hileli cihazları tanımlamak istemesidir. Bu, pasif koklama veya aktif tarama yoluyla ağ keşfi gerçekleştirmek veya ağ yönetim yazılımı, ağ saldırı algılama sensörleri veya ağ aktivitesini rutin olarak izleyen diğer cihazlar tarafından toplanan verileri gözden geçirmek gibi bir veya daha fazla teknik kullanılarak gerçekleştirilebilir. Bu izleme cihazları, ağda yeni, potansiyel olarak hileli bir cihaz gözlemlenir görülmez uyarılar oluşturabilirse, hileli cihazlar için periyodik test yapmaya çok az ihtiyaç olabilir veya hiç gerek kalmayabilir, çünkü etkili testler sürekli olarak gerçekleştirilmektedir.

Kuruluşların ayrıca kaynak kullanılabilirliğini dikkatlice düşünmesi gerekir. Kaynaklar önce yüksek öncelikli sistemler için tanımlanmalı, ardından daha düşük öncelikli sistemler daha az sıklıkta ve azalan sırada test edilebilir. Gerekli ve mevcut kaynaklar arasında bir boşluk varsa, kuruluşun ek kaynaklar tahsis etmesi ve planlanan değerlendirmelerinin kapsamını azaltmayı düşünmesi gerekebilir. İlgili olabilecek kapsam belirleme öğelerinin örnekleri şunları içerir:

  • Bileşen sayısı (ör. Tek veritabanı, tüm kullanıcı sistemleri veya tüm mimari) ve ağ boyutu (ör. Yerel Alan Ağı [LAN] veya Geniş Alan Ağı [WAN]) açısından değerlendirilenin boyutu, sayısı bir test uzmanının test için fiziksel olarak bağlanması gereken ağ konumları).
  • Değerlendirilen şeyin karmaşıklığı. Daha heterojen ortamlar genellikle daha fazla miktarda kaynak gerektirir çünkü daha çeşitli beceri kümelerine ve araçlara ihtiyaç vardır.
  • Örnek boyutu ve yapısı ile birlikte değerlendirme için bir örnek kullanmanın fizibilitesi. Örneğin, özellikle ana bilgisayarlar yönetiliyorsa ve benzer şekilde yapılandırılıyorsa, binlerce ana bilgisayar yerine küçük bir ana bilgisayar örneğini bağlantı noktası taraması çok daha verimli ve neredeyse aynı derecede etkili olabilir.
  • Spesifik test veya muayene tekniklerini yürütmek için gereken kaynak seviyesi. Örneğin, yetenekli bir denetçinin bir sistemin tüm güvenlik belgelerini gözden geçirmesi saatler sürebilir.

22. NIST SP 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems, Bölüm 3.4, akreditasyon sürecinin sürekli izleme aşamasına ilişkin rehberlik sağlar. http://csrc.nist.gov/publications/PubsSPs.html adresine bakın.

23. Sürekli izleme faaliyetleri, konfigürasyon yönetimi ve bilgi sistemi bileşenlerinin kontrolünü, sistemde yapılan değişikliklerin güvenlik etki analizlerini, güvenlik kontrollerinin sürekli değerlendirilmesini ve durum raporlamasını içerir. NIST SP 800-53 http://csrc.nist.gov/publications/PubsSPs.html ek rehberlik sağlar.

Gereken insan etkileşimi düzeyi. Örneğin, değerlendiriciler BT personeli ile birlikte çalışacaksa, bu BT personeli için bir eğitim biçimi olarak hizmet edebilir, ancak bağımsız olarak çalışan değerlendiriciler ve BT personelinin ihtiyaç duyduğu süreye kıyasla değerlendirmeyi tamamlamak için gereken süreyi muhtemelen artıracaktır. .

6.3 Tekniklerin Seçilmesi ve Özelleştirilmesi

Belirli bir değerlendirme için hangi teknik test ve inceleme tekniklerinin kullanılması gerektiğini belirlerken dikkate alınması gereken birçok faktör vardır. Bir kuruluş, öncelikle belirli bir yetkiye uygunluğu doğrulamaya odaklanmak, sertifikasyon ve akreditasyon (C&A) faaliyetlerinin bir parçası olarak bir sistemin güvenliğini doğrulamak, bir grup sistemdeki istismar edilebilir güvenlik açıklarını belirlemek veya izinsiz giriş tespit sistemini değerlendirmek gibi değerlendirme hedeflerini belirlemelidir. olay işleme prosedürü performansı. Daha sonra, kuruluş, bu hedefleri destekleyen bilgileri ve seçilen her bir sınıf içindeki belirli teknikleri elde etmek için kullanılacak teknik sınıflarını (ör. İnceleme, hedef tanımlama ve analiz, hedef güvenlik açığı doğrulama) seçmelidir. Bazı test teknikleri için, kuruluş ayrıca değerlendiricilerin bakış açısını da belirlemeli (ör. İç ve dış, gizli veya açık) ve ilgili teknikleri seçmelidir.

Çoğu durumda bir değerlendirme hedefine ulaşmak için birden fazla teknik kullanılabileceğinden, kuruluşların her durum için hangi tekniklerin en iyi olduğunu belirlemesi gerekir. Bölüm 6.2’de tartışıldığı gibi, dikkate alınması gereken önemli bir husus kaynaklardır — bazı tekniklerin kullanımı, gerekli araç türleri ve gereken personel saati sayısı nedeniyle diğerlerinden önemli ölçüde daha pahalı olabilir. Bazı tekniklerin gerçekleştirilmesi de çok uzun sürebilir – bir değerlendirme yürütmek için kısa bir zaman aralığı varsa, sızma testi yerine güvenlik açığı taraması yapmak gibi daha az kapsamlı veya kaynak yoğun teknikler gerekebilir. Beceriler, teknik seçiminde bir başka önemli faktördür – örneğin, bir kuruluş, belirli özel teknikleri kullanmak için uygun becerilere sahip personel üzerinde değerlendiricilere sahip olmayabilir.

Kuruluşlar, test tekniklerini seçerken riski de dikkatlice değerlendirmelidir. Sızma testi gibi bazı teknikler, sistem kullanılabilirliğinin kaybına veya hassas verilerin açığa çıkmasına neden olabilir. Bazı durumlarda, kuruluşlar, üretim sistemlerinde mi yoksa benzer şekilde yapılandırılmış üretim dışı sistemlerde mi, bu tür alternatif sistemler varsa testlerin gerçekleştirilip gerçekleştirilmeyeceğini değerlendirmeli veya operasyonlar üzerindeki etkiyi en aza indirmek için belirli tekniklerin kullanımını mesai saatleri dışında sınırlamalıdır. Bu tür kararları verirken değerlendirilecek faktörler şunları içerir:

Üretim sistemlerine olası etki. Örneğin, belirli bir test tekniğinin hizmet reddine neden olma ihtimali varsa, muhtemelen üretim dışı bir sisteme karşı kullanılmalıdır.

Hassas kişisel olarak tanımlanabilen bilgilerin (PII) varlığı. Test, erişim yetkisi olmayan kişilere Sosyal Güvenlik numaraları (SSN) veya kredi kartı bilgileri gibi hassas PII’yi açığa çıkarabilirse, kuruluşlar, PII’nin sahte bir sürümüne sahip üretim dışı bir sistemde testlerini gerçekleştirmeyi düşünmelidir ( örneğin, gerçek PII yerine test verileri).

Üretim ve üretim dışı sistemler ne kadar benzer şekilde yapılandırılabilir? Uygulamada, test ve üretim ortamları arasında genellikle tutarsızlıklar vardır ve bu, üretim dışı sistemler kullanıldığında güvenlik açıklarının gözden kaçmasına neden olabilir.

Kuruluşlar, sistemler ve ağlar için kabul edilebilir bir risk düzeyini korurken, derinlemesine bir güvenlik değerlendirmesi elde etmek için genellikle bir teknik kombinasyonu kullanır. Bölüm 2’de bahsedildiği gibi, teknik olmayan teknikler, teknik tekniklerin yerine veya teknik tekniklere ek olarak kullanılabilir; birçok değerlendirme teknik olmayan ve teknik tekniklerin bir kombinasyonunu kullanır.

Aşağıdaki örnekler, birden fazla teknik tekniğin birbirini nasıl tamamlayabileceğini ve teknik seçiminin risk endişeleriyle nasıl ilişkili olabileceğini göstermektedir. Bu örnekler, kuruluşların değerlendirmeleri için önerilen teknik kombinasyonları olmaktan çok örnekleme amaçlıdır. Her durum farklıdır ve kuruluşlar, uygun bir teknik kombinasyonu belirlerken her değerlendirmenin gereksinimlerini ve hedeflerini değerlendirmelidir.

Değerlendirmenin kendisinden kaynaklanan riski en aza indirirken, bir sistemin güvenlik mimarisi ve güvenlik yapılandırmasındaki teknik zayıflıkları belirleyin.

1. Adım. Belgelerin İncelenmesi. Politika ve prosedür zayıflıklarını ve güvenlik mimarisi kusurlarını belirleyin.

2. Adım. Kural Seti ve Güvenlik Yapılandırmasının İncelenmesi. Sistemin ağ güvenliği mimarisi ve sistem güvenliği kusurları biçimlerindeki kurumsal güvenlik politikalarından sapmaları belirleyin.

3. Adım. Kablosuz Tarama. Sistemin yakınındaki hileli kablosuz cihazları ve sistem tarafından kullanılan kablosuz ağlarla ilgili ek güvenlik mimarisi zayıflıklarını belirleyin.

4. Adım. Ağ Keşfi ve Güvenlik Açığı Taraması. Sistemdeki tüm etkin ana bilgisayarları ve bilinen güvenlik açıklarını belirleyin.

Bir sistemin güvenlik mimarisindeki ve güvenlik yapılandırmasındaki teknik zayıflıkları belirleyin ve doğrulayın – doğrulama, seçilen güvenlik açıklarından yararlanma girişimlerini içerecektir.

Adım 1. Kural Seti ve Güvenlik Yapılandırmasının İncelenmesi. Sistemin ağ güvenliği mimarisi ve sistem güvenliği kusurları biçimlerindeki kurumsal güvenlik politikalarından sapmaları belirleyin.

2. Adım. Ağ Keşfi ve Güvenlik Açığı Taraması. Sistemdeki tüm etkin ana bilgisayarları ve bilinen güvenlik açıklarını belirleyin.

Adım 3. Sosyal Mühendislik ile Sızma Testi. Sistemdeki güvenlik açıklarını doğrulayın.

Bir sistemin güvenlik mimarisindeki ve güvenlik yapılandırmasındaki teknik zayıflıkları harici bir saldırganın bakış açısından tespit edin ve doğrulayın — doğrulama, güvenlik açıklarının bir kısmından veya tümünden yararlanma girişimini içerecektir. Sisteme yönelik saldırılara karşı kuruluşun denetim yeteneklerinin etkinliğini değerlendirin.

Adım 1. Dış Sızma Testi. Sistem güvenlik açıklarını belirlemek ve doğrulamak için harici ağ keşfi, bağlantı noktası taraması, güvenlik açığı taraması ve saldırılar gerçekleştirin.

Adım 2. Günlüğü İnceleme. Harici sızma testi faaliyetleriyle ilgili bilgileri yakalamadaki etkinliğini belirlemek için sistemin güvenlik kontrolü denetim günlüklerini gözden geçirin.

6.4 Değerlendirme Lojistiği

Teknik değerlendirmeler için lojistiğin ele alınması, değerlendirmeyi yürütmek için gerekli tüm kaynakların tanımlanmasını; test edilecek ortam; ve gerekli donanım ve yazılım test araçları. Bunlar aşağıdaki alt bölümlerde ele alınmaktadır.

Aşağıda tartışılan standart lojistik gereksinimlere ek olarak, planlama aşamasında her test için lojistik gereksinimlerin belirlenmesi de aynı derecede önemlidir. Kapsama ve

ortam, bağımsız testler, harici bir test ekibi için bir ziyaret talebi göndermek, testi etkinleştirmek için bir tesise ekipman göndermek ve yerel veya uzun mesafeli seyahat için planlama yapmak gibi ek lojistik gereksinimlere sahip olabilir. Bu ihtiyaçlar, planlama sürecinde duruma göre ele alınmalıdır.

6.4.1 Assessor Selection and Skills

Değerlendiriciler, bu kılavuzda açıklananlar gibi teknik yöntem ve teknikleri kullanarak incelemeler ve testler gerçekleştirir. Kuruluşlar, değerlendiricileri seçerken dikkatli olmalıdır, çünkü uygun şekilde denetlenmiş, yetenekli ve deneyimli değerlendiriciler, güvenlik testlerinin yürütülmesi ile ilgili riskleri azaltacaktır. Değerlendiriciler ayrıca ağ mimarisi, güvenlik durumu ve zayıflıklar hakkındaki hassas bilgilere erişim gerektirebileceğinden, bazı kuruluşlar arka plan kontrolleri veya güvenlik izni talep edebilir. Kuruluşlar aynı zamanda, tek bir kişinin resmi bir değerlendirme yürütmesi ve bu değerlendirmenin bulgularını ele almaktan sorumlu olması gibi olası çıkar çatışmalarına da dikkat etmelidir.

Birçok kuruluşun özel iç değerlendirme ekipleri vardır. Bir kuruluşun yapısına, büyüklüğüne, konumuna ve mevcut kaynaklara bağlı olarak, bu ekipler coğrafi konuma göre bölünebilir veya merkezileştirilebilir ve değerlendirmelerini yürütmek için çeşitli sitelere yerleştirilebilir. Bazı ekipler, kablosuz güvenlik testi gibi belirli teknik yeterliliklere hitap ederken, diğer ekipler çeşitli derinlik seviyelerinde birçok güvenlik alanını ele alabilir. Örneğin, bir ekibin üyeleri arasında, bir sistem yapılandırmasını gözden geçirme yeteneğine sahip bazı kişiler, bilinen güvenlik açıklarını belirlemek için otomatik değerlendirme araçlarını kullanabilen diğerleri ve yine de etkisiz güvenlik önlemlerini göstermek için güvenlik açıklarından etkin bir şekilde yararlanabilen başka kişiler olabilir.

Değerlendiriciler, ağ güvenliği, güvenlik duvarları, saldırı tespit sistemleri, işletim sistemleri, programlama ve ağ protokolleri (TCP / IP gibi) konusunda uzmanlık dahil olmak üzere önemli güvenlik ve ağ bilgilerine sahip olmalıdır. Asgari risk sağlarken, testleri etkili ve verimli bir şekilde yürütmek için çok çeşitli teknik beceri setlerine ihtiyaç vardır. Değerlendiriciler ayrıca, güvenlik açığı tanımlama ve doğrulama, güvenlik yapılandırması, güvenlik açığı yönetimi ve sızma testi gibi uygulanan belirli teknik türleri konusunda da yetenekli olmalıdır. Operasyonel deneyim, sınıf veya laboratuvar eğitimine tercih edilir. Deneyimsiz veya eğitimsiz personelin teknik testler yapmasına izin vermek, bir kuruluşun sistemlerini ve ağlarını olumsuz etkileyebilir, potansiyel olarak misyonunu engelleyebilir ve güvenlik programı yönetim ofisi ve değerlendiricilerinin güvenilirliğine zarar verebilir. Ekipte güçlü teknik yazma becerisine sahip bir teknik yazar veya başka bir kişinin olması da faydalıdır. Bu, ekibin özellikle daha az teknik okuyuculara olmak üzere değerlendirme sonuçlarını etkili bir şekilde aktarmasına yardımcı olur.

Değerlendirmeler bir ekip tarafından yapıldığında, ekip lideri değerlendirme sürecini kolaylaştırır; kuruluşun ortamını ve gereksinimlerini anladığını gösterir; ve (varsa) değerlendiriciler ile kuruluşun güvenlik grubu arasındaki iletişimi kolaylaştırır. Ekibin lideri, uygulanan tekniklerin türü ile ilgili genel teknik bilgi ve deneyime ve değerlendirilen varlıklar hakkındaki bilgiye dayalı olarak seçilmelidir. Ekip liderleri ayrıca güçlü iletişim, organizasyon, planlama ve çatışma çözme becerilerine sahip olmalıdır.

Bir değerlendirme ekibinin sahip olduğu beceriler, kuruluşun güvenlik duruşunun çok yönlü bir görünümünü sağlamak için dengelenmelidir. Örneğin, çevre savunmasında uzmanlaşmış bir kişiye sahip olmak faydalıdır, ancak çevre savunmasında uzmanlaşmış insanlarla dolu bir ekibe sahip olmak, testin tek odak noktası çevrenin güvenlik durumunu belirlemek olmadığı sürece büyük olasılıkla gereksiz olacaktır. İdeal olarak, yapılan incelemelerin ve testlerin bireysel gereksinimlerine göre bir ekip oluşturulur. Sistem özellikleri de önemli olabilir – örneğin, denetim kontrolü ve veri toplama (SCADA) sistemleri, geleneksel bir güvenlik değerlendiricisinin aşina olmayabileceği bir dizi benzersiz bileşene sahiptir, bu da değerlendiricinin bunların güvenlik durumunu güvenli ve yeterli şekilde test etme becerisini azaltır. sistemleri.

Bu tür bir durumda, düzenli değerlendiricilerin sayısını artırmak için bir veya daha fazla konu uzmanına (KOBİ) ihtiyaç duyulabilir. KOBİ, deneyimli bir güvenlik test cihazı ve sistem uzmanı olabilir veya yalnızca test edilen sistem konusunda yetenekli olabilir. Her şeye rağmen, KOBİ’ler değerlendirmenin amaçları, hedefleri, yaklaşımı ve süreci hakkında eğitilmeli ve mümkün olduğunda planlama sürecine dahil edilmelidir çünkü katkıda bulunacak kritik bilgilere sahip olabilirler.

Değerlendiricilerin yeni teknolojiye ve bir düşmanın bu teknolojiye saldırabileceği en son araçlara ayak uydurması gerekir. Bilgi tabanlarını periyodik olarak yenilemeli, uygun şekilde metodoloji güncelleme tekniklerini yeniden değerlendirmeli ve araç kitlerini güncellemelidirler. Örneğin, teknik eğitim kurslarına katılmak, bir test ortamında uygulamalı test yapmak veya en son güvenlik açıklarını ve açıkları araştırmak, değerlendiricilerin düzenli olarak katılması gereken faaliyetlerden sadece birkaçıdır. Değerlendiriciler ayrıca becerilerini korumak ve geliştirmek için operasyonel ortamlarda düzenli olarak teknik uygulamalı testler gerçekleştirmelidir.

Değerlendiricilerin sorumlulukları şunları içerir:

  • Güvenlik değerlendirme faaliyetleri hakkında güvenlik görevlileri, yönetim, sistem yöneticileri ve kullanıcılar gibi uygun tarafları bilgilendirmek
  • Sistem yöneticileri, Bilgi Sistemleri Güvenlik Görevlisi (ISSO) ve CISO ile değerlendirme planları geliştirmek
  • İnceleme ve testlerin yapılması ve ilgili tüm verilerin toplanması
  • Toplanan verileri analiz etmek ve azaltma önerileri geliştirmek
  • Etki azaltma eylemlerini doğrulamak için gerektiğinde ek incelemeler ve testler yapmak.

Bazı durumlarda, değerlendirmeyi yürütmeleri için üçüncü tarafları (örneğin, denetçiler, yüklenici destek personeli) görevlendirmek, dahili değerlendiricilerin sağlayamayabileceği bağımsız bir görüş ve yaklaşım sunar. Kuruluşlar, dahili olarak mevcut olmayan belirli konu uzmanlığı sağlamak için üçüncü tarafları da kullanabilir. Güvenlik duruşu hakkında dışarıdan bir bakış açısı kazanmak faydalı olsa da, bir kuruluşun sistemlerine dışarıdan erişim sağlamak ek risk getirebilir. Dış kuruluşlar, gerekli becerilere, deneyime ve bütünlüğe sahip olduklarından emin olmak için uygun şekilde incelenmeli ve değerlendirilen kuruluşun uğrayacağı zararlardan sorumlu olabilecekleri için güvenlik değerlendirmesiyle ilişkili risklerin bir kısmını üstlenmeleri istenmelidir. Dış kuruluşlar da kuruluşun geçerli politikalarını ve operasyonel ve güvenlik gereksinimlerini anlamalı ve bunlara uymalıdır.

Yukarıda listelenenlere ek olarak, dış değerlendiricilerin sorumlulukları şunları içerir:

  • Değerlendirilen kuruluşla koordinasyon ve iletişim kurma
  • Uygun yetkinin verilmesini sağlamak ve tüm güncellemelerin belgelendiğinden emin olmak için değerlendirme planının imzalı bir kopyasını muhafaza etmek
  • Gerekli ifşa etmeme anlaşmalarını imzalamak ve bunlara uymak
  • Toplanan tüm verilerin ve sonuç raporlarının işlenmesi, iletilmesi, depolanması ve silinmesi dahil olmak üzere, kuruluşun düzenlemelerine uygun olarak verileri uygun şekilde korumak.
6.4.2 Konum Seçimi

Değerlendiricilerin faaliyet gösterdiği ortam, kullanılan tekniklere göre farklılık gösterir. Pek çok test türü için, değerlendiriciler, kuruluşun yerinde gerçekleştirilen testler olarak tanımlanan yerinde testle birlikte yerinde veya tesis dışında çalışabilir.

Bununla birlikte, değerlendiricilerin iş yeri dışına yerleştirilmesi, testi daha gerçekçi hale getirebilir (örneğin, gizli test yaklaşımını uygularken). İncelemeler için değerlendiriciler genellikle yerinde bulunurlar, böylece kuruluşun güvenlik belgelerine, günlüklerine ve diğer bilgilerine kolayca erişebilirler. Üçüncü şahıslar tarafından gerçekleştirilen değerlendirmeler için, kuruluşun uygun fiziksel erişim düzeyini (örneğin, kısıtlanmamış, refakatli) belirlemesi gerekecektir. Güvenlik yapılandırması incelemeleri ve güvenlik açığı taraması gibi ağ içinden yürütülen teknik değerlendirmeler için, değerlendiricilere ya yerinde, şifreli bir sanal özel ağ (VPN) tüneli yoluyla ya da bir güvenilir ortamdan atanmış bir bağlantı aracılığıyla ağ erişimi sağlanmalıdır. onaylı test laboratuvarı. 24

Değerlendiriciler, kullandıkları araçlara bağlı olarak ağa farklı düzeylerde erişim gerektirebilir. Bazı araçlar, ağ veya etki alanı yöneticisi ayrıcalıkları gerektirir — bu durumda, kuruluşlar değerlendirmeler sırasında kullanılmak üzere yeni yönetici hesapları oluşturmalıdır. Her değerlendiricinin kendi hesabı olmalıdır — yönetici hesapları hiçbir nedenle paylaşılmamalıdır. Bu yaklaşım kuruluşun, değerlendirmenin sonunda devre dışı bırakılacak veya silinecek olan bu hesapları izlemesine olanak tanır.

Ağın dışından yürütülen teknik değerlendirmeler, en yaygın olanları burada tartışılan bir dizi senaryo takip edilerek yürütülebilir. Değerlendiricilerin sistemleri, değerlendiricileri kuruluşun mantıksal ve fiziksel sınırları içinde tutan bir çevre cihazına (ör. Sınır yönlendiricisi) doğrudan bağlanabilir. Bununla birlikte, bu konumun kullanılması, kuruluşun güvenlik duruşunun düşmanca bir bakış açısından gerçek bir değerlendirmesini sağlamaz. Harici testler, test edilen kuruluşun ağından bağımsız bir İnternet bağlantısına sahip bir test laboratuarından ve uygunsa, testi yürüten kuruluştan (örneğin, testleri kendi tesislerinde gerçekleştiren üçüncü taraf değerlendiriciler) gerçekleştirilebilir. ) .25 Harici testler gerçekleştiren kuruluşlar ayrıca bir sunucu ve bağımsız bir İnternet bağlantısı kiralamayı da seçebilirler. Bu hizmetler, çeşitli satıcılar tarafından, tipik olarak aylık bir ücret karşılığında sağlanır. Kiralanmış bir sunucu kullanılıyorsa, değerlendiriciler bir güvenlik testi yapmadan önce sistemdeki verileri güvenli bir şekilde silmeli ve yeniden oluşturmalıdır. Test tamamlandıktan sonra ekip, veri işleme için Bölüm 7.4’te sağlanan yönergeleri izlemelidir.

Değerlendirme faaliyetleri için bir yer seçerken, kuruluşlar, harici konumları kullanmanın doğasında olan riskleri göz önünde bulundurmalıdır. Bunlar tipik olarak, harici konumlara fiziksel ve mantıksal erişim üzerinde dahili konumlara göre daha az kontrol sunar ve değerlendirme sistemlerini ve verilerini daha büyük bir risk altına sokabilir. Harici konum ile kuruluşun tesisleri arasındaki ağ trafiğinin de yetkisiz taraflarca izlenme riski daha yüksektir ve bu da testlerle tespit edilen güvenlik zayıflıklarını ortaya çıkarabilir. Üçüncü taraf ağlar üzerinden sızma testi gibi belirli test türlerinin gerçekleştirilmesi ile ilgili sorunlar da olabilir – bu tür testler, ağ kullanımını izleyen güvenlik personeli için doğası gereği kötü niyetli görünebilir ve hatta ağ sağlayıcısının güvenlik politikalarını ihlal edebilir.

Daha önce Bölüm 5’te tartışıldığı gibi, değerlendirme sistemlerinin konumu, belirli test türlerinin sonuçlarını etkileyebilir. Örneğin, güvenlik açığı taraması ağ trafiği bir güvenlik duvarından geçerse, bu güvenlik duvarı trafiğin bazı bölümlerini yanlışlıkla engelleyebilir ve belirli güvenlik açıklarının algılanmasını önleyebilir. Ayrıca, saldırı tespit ve önleme sistemleri ve diğer güvenlik kontrolleri, belirli test türleri gibi, doğası gereği kötü niyetli olarak algılanan ağ trafiğini engelleyebilir. Bu sorunlar, testler üçüncü taraf bir ağ üzerinden harici bir konumdan çalıştırıldığında daha da kötüleşir; bu durumda, ne değerlendiriciler ne de kuruluş, test faaliyetlerine müdahale eden güvenlik özellikleri hakkında bilgi veya kontrol sahibi olmayabilir.

24. Test edilen sistemler bir üretim ağında bulunmayabilir, bu durumda test ekibine bu sistemler tarafından kullanılan üretim dışı ağa erişim sağlanması gerekebilir.

25. Bağımsız bir ağ kullanmak, gizli test yapılıyorsa özellikle avantajlıdır. Bu, güvenlik personelinin faaliyetin kaynağını belirlemesini zorlaştırabilir (yani, IP adresleri bir test ekibi veya kuruluşla ilişkili değildir). Ayrıca, güvenlik personeli test faaliyetine yanıt olarak test cihazının IP adresi aralığından erişimi engellediğinde meydana gelebilecek yasal kullanıcılara karşı yanlışlıkla hizmet reddini önler.

6.4.3 Teknik Araç ve Kaynak Seçimi

Bir güvenlik değerlendirmesi yürütmek için oluşturulan bilgi sistemleri, belirli değerlendirme türünün ve beklenen araçlarının gereksinimlerini karşılamalıdır. Örneğin, belge inceleme sistemlerinde, belgeleri okumak, güvenlik açıklarını izlemek ve raporlar oluşturmak için uygulamalar kurulu olmalıdır. Güvenlik açığı değerlendirmeleri ve sızma testi gibi testleri yürütmek için tasarlanmış sistemler, sistem gereksinimleri ve yazılım araçları açısından daha karmaşıktır. Teknik değerlendirme sistemleri, sunucuları, iş istasyonlarını veya dizüstü bilgisayarları içerebilir. Dizüstü bilgisayarlar genellikle seyahat eden değerlendiriciler tarafından kullanılır ve değerlendiriciler bir test laboratuarındaysa veya bir tesis yerinde ise sunucular veya iş istasyonları kullanılabilir. Değerlendiriciler ayrıca tekniklerin çalıştırılacağı bir ağ kurabilir – bu, artırılmış işlem gücü gerektiren etkinliklere adanmış etkinliklerin ve sunucuların merkezileştirilmiş günlük kaydını destekleyen bir ortam sağlar.

Test sistemlerinin gereksinimleri değişiklik gösterir. Test sırasında sistemin çökme olasılığını azaltmak için tüm araçların, işletim sistemlerinin ve sanal makinelerin26 (VM) işleme ve bellek gereksinimlerini karşılayabilen bir sistem kullanılmalıdır. Bir kilitlenme, testin bu bileşeninin yeniden yapılmasına, verilerin kaybolmasına ve test sistemlerinin yeniden oluşturulmasına neden olabilir. İşlem gücü ve bellek gereksinimleri, hem kullanılan araçlar hem de test ekibinin belirli bileşenleri işlemeyi beklediği hız tarafından yönlendirilir. Örneğin, parola kırma genellikle artırılmış işlem gücü ve bellek gerektirir, bu nedenle test ekipleri özel bir parola kırma sunucusuna sahip olmak isteyebilir. Özel bir sistem, ekibin şifre kırma işlemi sırasında diğer test hedeflerini yürütmesine izin verecektir. Sabit sürücü gereksinimleri, bir test sırasında toplanan beklenen veri miktarına bağlı olacaktır. Verilerin uzun süreli depolanmasının gerekli olması durumunda, bir depolama yöntemi (örneğin, bağımsız sistem veya çıkarılabilir ortam) uygun şekilde tanımlanmalı ve tedarik edilmelidir.

Test ekibi tarafından kullanılan araçlar, bireysel test kapsamına bağlı olarak değişecektir, ancak ekibin kullandığı ve güncel tuttuğu temel bir araç seti olmalıdır. Katılım ve organizasyona bağlı olarak bir ekip, şirket içinde geliştirilen araçların bir kombinasyonunu, açık kaynaklı araçları ve / veya ticari veya resmi kullanıma hazır (GOTS) araçları kullanabilir. Araçlar, köklü kaynaklardan elde edilmelidir. Bazı kuruluşlar, ihtiyaç duydukları özel araçlara da sahip olabilir veya ekipleri kullanmaya teşvik edebilir; örneğin, bir kuruluş, tüm test ekiplerinin kullanabileceği bir ürün için bir lisans satın alabilir. Birçok ücretsiz araç da mevcuttur. Ek A, genel araçları listeler ve amacını ve nasıl elde edilebileceğini açıklar. Kuruluşlar, bir testte kullanmadan önce her bir aracı değerlendirmeye özen göstermelidir; bu süreç, aracı güvenilir bir siteden indirmekten, aracın kötü amaçlı kod içermediğinden emin olmak için derinlemesine bir kod incelemesi yapmaya kadar değişebilir.

Çoğu zaman, araçlar, birden çok işletim sistemi gereksinimi dahil olmak üzere, testi yürütmek için gereken işletim sistemini belirleyecektir. Sistemler, tek işletim sistemi, VM görüntüleri ile tek işletim sistemi ve çift önyükleme sistemleri dahil olmak üzere çeşitli şekillerde yapılandırılabilir. İkili önyükleme sistemine bir örnek, Microsoft Windows’un bir sürümüne veya Red Hat, Mandrake veya SuSE gibi bir Linux sürümüne önyüklenebilen bir sistemdir. Çift önyükleme sistemi, bir test uzmanının tek bir makineden iki işletim sistemi kullanmasına izin verir, ancak bu, test edenin her bir işletim sistemi ve araçları arasında geçiş yapmak için sistemi yeniden başlatması gerektiğinden bu uygun olmayabilir.

Diğer bir popüler ve işlevsel seçenek, VM’leri kullanmaktır. Birçok test aracı belirli bir işletim sistemi gerektirir ve VM’ler, test uzmanlarının sistemi yeniden başlatmadan bir işletim sisteminden diğerine geçiş yapmalarına olanak tanıdığından, aynı anda birden fazla işletim sistemini çalıştırmalarına olanak tanıdığından, test uzmanlarının çok çeşitli araçları daha kolay kullanmalarına olanak tanır.

26. Bir sanal makine (VM), tek bir ana bilgisayarın bir veya daha fazla konuk işletim sistemini çalıştırmasına izin veren yazılımdır. Bu işletim sistemleri etkileşimde bulunmaz ve birbirlerinin farkında değildir. Sanal makine monitörü, fiziksel donanım ile bağımsız VM’ler arasındaki iletişimi kontrol eden yazılım parçasıdır.

Bunun, günlüğe kaydetme, dokümantasyon yetenekleri ve eşzamanlı testleri yürütme gibi birçok olası faydası vardır. VM’yi barındıran sistem aynı anda iki veya daha fazla işletim sistemini desteklediğinden, VM’leri çalıştıran test sistemleri daha fazla işlem gücü ve bellek gerektirir.

Test uzmanları, test sisteminde bulunan tüm işletim sistemlerini kullanırken bilgili, deneyimli ve rahat olmalıdır çünkü belirli araçları veya sistem yeteneklerini başarılı bir şekilde çalıştırmak için sistem değişiklikleri sıklıkla gereklidir. Örneğin, test ekibi bir kablosuz güvenlik testi yapmak için Red Hat Linux kullanıyorsa, ekibin kablosuz ağ kartlarını kurmaya ve yapılandırmaya aşina olması gerekecektir, çünkü bunu yapmak için gereken adımlar bir Red Hat Linux acemi için açık olmayabilir.

Kullanılan sistem kurulum yöntemine bakılmaksızın, güvenlik testleri yapan kuruluşlar, testlerini yürütmek için bir temel görüntü geliştirmeli ve sürdürmelidir. Bir görüntü, ekibin kullanması için standartlaştırılmış bir araç seti sağlar ve bir ekibin hızlı bir şekilde konuşlandırılmasını sağlar. Temel görüntü, değerlendirici eylemlerini otomatik olarak günlüğe kaydetme mekanizmaları dahil olmak üzere, işletim sistemi, sürücüler, gerekli sistem ve güvenlik yapılandırmaları, uygulamalar ve araçlardan oluşmalıdır (örneğin, verilen komutlar). Tam sistem görüntüleri genellikle donanıma bağlıdır, bu nedenle farklı donanıma (ör. Video kartları) sahip başka bir sisteme bir görüntü yüklemek, test ekibinin görüntüyü değiştirmesini gerektirir – bu, belirli beceriler gerektirir ve zaman alıcıdır. Sanal makine görüntüleri daha çok yönlüdür ve tam sistem görüntüleri ile aynı donanım kısıtlamalarını taşımaz, bu da onları test ekipleri için daha uygun bir seçenek haline getirir. Kablosuz taramalar, uygulama testleri, güvenlik açığı değerlendirmeleri ve sızma testleri yapma becerisine sahip olanlar gibi çok işlevli ekipler, tüm test türlerini yürütmek için gereken araçları veya çeşitli teknikler için birden çok görüntüyü içeren bir görüntüye sahip olabilir. Birden fazla görüntünün saklanması ek bakım gerektirdiğinden, genellikle bir görüntünün kullanılması tercih edilir.

Yalnızca en son araçların ve sürümlerin kullanıldığından emin olmak için sanal makine görüntüsü periyodik olarak güncellenmelidir. Bu güncelleme süresi boyunca, ekip, aracın işlevselliğini onaylamalı ve işlevsellik veya kullanımdaki her türlü değişikliği – uygun şekilde belgelerle – belirlemelidir. Her testten önce güvenlik açıklarını (ör. Güvenlik açığı tarayıcıları) keşfeden araçları güncellemek, yakın zamanda keşfedilen güvenlik açıklarının testin bir parçası olmasını sağlamaya yardımcı olur. Ekip, mevcut araç setini korumaya ek olarak, kaldırılacak eski araçları ve eklenmesi gereken yeni araçları belirlemek için araç setini periyodik olarak değerlendirmelidir.

Test sistemlerini bir güvenlik testinde kullanmadan önce, test ekibi en son güvenlik yamalarını uygulamalı ve yalnızca bağlantı ve test için gereken hizmetleri etkinleştirmelidir. Bu öneri, VM’lerdekiler de dahil olmak üzere test için kullanılabilecek tüm işletim sistemleri için geçerlidir. Kuruluşun güvenlik grubu, test sistemlerinin kuruluşun güvenlik gereksinimleriyle uyumlu olduğunu ve bu sistemleri ağa bağlamadan önce test için onaylandığını doğrulayabilir. Doğrulama, güvenlik açığı taramaları gibi teknik testler için kullanılan aynı sistemler aracılığıyla yapılabilir. Test sistemleri, test için kullanılan araçların gereksinimleri nedeniyle kuruluşun tüm güvenlik gereksinimlerini karşılamayabilir – örneğin, bazı güvenlik kontrolleri, bu araçları kullanarak gerçekleştirilen taramaları veya saldırıları durdurmaya çalıştıkları için aracın çalışmasını engelleyebilir. Bu gibi durumlarda, değerlendiricilerin araçlar kullanımdayken bu güvenlik kontrollerini devre dışı bırakması gerekebilir.

Seyahat ekipleri, bir ekibin başka yerlerde test yaparken ihtiyaç duyabileceği sistemleri, görüntüleri, ek araçları, kabloları, projektörleri ve diğer ekipmanları içeren bir uçuş kiti bulundurmalıdır. Bir kuruluş harici bir test ekibi kullanıyorsa, bu ekip gerekmedikçe kuruluşun kaynaklarını kullanmamalıdır. Kuruluş harici sistemlerin kendi ağına bağlanmasına izin vermiyorsa, harici test ekibinin ya gerekli tüm araçları onaylanmış bir istemci sistemine kurması ya da canlı bir CD gibi önyüklenebilir bir sistem öykünme yeteneği getirmesi gerekecektir.27

27. Canlı bir CD, önyüklenebilir bir CD’de bulunan, tam olarak çalışan bir işletim sistemi ortamıdır. Bu teknoloji, kullanıcının sisteme herhangi bir şey (örn. Yazılım, sürücüler vb.) Yüklemesini gerektirmez.

Ek A örnekler sağlar iki canlı CD dağıtımının. Araçlar doğrudan bir istemci sisteme kurulursa, test ekibi araçların ve ürettikleri tüm dosyaların test tamamlandığında sistemden kaldırıldığından emin olmalıdır.

6.5 Değerlendirme Planı Geliştirme

Bir değerlendirme planı, diğer ilgili bilgilerle birlikte bir değerlendirme için planlanan faaliyetleri belgeleyerek yapı ve hesap verebilirlik sağlar. NIST SP 800-53A, değerlendirme planları hakkında ek bilgiler sağlar ve değerlendiricilerin bir plan geliştirirken dikkate almaları gereken birkaç farklı adımı ele alır. Bu adımlar şunlardır: (i) güvenlik kontrolü değerlendirmesinin türünü belirlemek; (ii) değerlendirmeye dahil edilecek güvenlik kontrollerinin ve kontrol geliştirmelerinin belirlenmesi; (iii) sistem güvenlik planındaki güvenlik kontrollerine ve kontrol geliştirmelerine dayalı olarak değerlendirme sırasında kullanılacak uygun değerlendirme prosedürlerini seçmek; (iv) seçilen değerlendirme prosedürlerini bilgi sistemi etki seviyesi ve kuruluşun çalışma ortamına göre uyarlamak; (v) gerekirse, diğer güvenlik kontrollerini ve kontrol iyileştirmelerini ele almak için ek değerlendirme prosedürleri geliştirmek; (vi) genişletilmiş değerlendirme prosedürünü uygulamak için bir strateji geliştirmek; (vii) çaba tekrarını azaltmak ve uygun maliyetli değerlendirme çözümleri sağlamak için değerlendirme prosedürlerini optimize etmek; ve (vi) değerlendirme planının sonuçlandırılması ve uygulanması için gerekli onayların alınması.

Her bir değerlendirme, kapsamına, müdahaleciliğin seviyesine veya testi gerçekleştiren tarafa (yani dahili, üçüncü taraf) bakılmaksızın bir değerlendirme planında ele alınmalıdır. 28 Bu plan, değerlendiricilerin uyması gereken kuralları ve sınırları sağlar ve kazara sistem kesintisi veya hassas bilgilerin yanlışlıkla ifşa edilmesi gibi bir olay riskini azaltarak organizasyon. Değerlendirme planları ayrıca, kuruluşun yönetiminin değerlendirmenin kapsamını, faaliyetlerini ve sınırlamalarını anlamasını ve kabul etmesini sağlayarak test ekibini korur. Değerlendirme planının geliştirilmesi, değerlendiriciler ve kuruluşun güvenlik grubunun kilit üyeleri arasında işbirliğine dayalı bir süreç olmalıdır.

The assessment plan should answer these basic questions:

  • Değerlendirmenin kapsamı nedir?
  • Değerlendirmeyi yapmaya kim yetkilidir?
  • Değerlendirmenin lojistiği nedir?
  • Hassas veriler nasıl ele alınmalıdır?
  • Bir olay durumunda ne yapılmalı?

Değerlendirme planı, hangi sistemlerin ve ağların incelenmeye ve test edilmeye yetkili olduğunu belirlemelidir. Bu, sistemlerin sayısı ve kullandıkları IP adresleri veya adres aralıkları sağlanarak yapılabilir. Plan ayrıca, incelenmeye veya test edilmeye yetkili olmayan belirli sistemleri (en azından IP adresine göre ve tercihen sistem adına göre) listelemelidir.

28. Bir değerlendirme planına ek olarak, değerlendiricilerin kuruluştaki taraflara (örneğin, kullanıcılar veya sistem sahipleri) erişim elde etme yetkisi olarak sunabilecekleri daha kısa bir belge (bir veya iki sayfalık bir not) geliştirmek faydalı olabilir. belirli sistemler. Belge, izin verilen ve izin verilmeyen faaliyetleri, yetkili ve yetkisiz sistemleri, kullanıcılar tarafından sağlanacak kabul edilebilir işbirliği düzeyini ve kuruluşun güvenlik grubundaki kullanıcıların daha fazla bilgi için iletişime geçebilecekleri bir irtibat noktasını açıklamalıdır.

Örneğin, bir kuruluşun maaş bordrosu veritabanı belirli bir test türü için çok önemli görülüyorsa, sistem adı ve IP adresi değerlendirme planının hariç tutma listesine dahil edilmelidir. Kuruluş, sistemlerinin bir kısmının üçüncü bir tarafın ağında barındırılması gibi ağının tamamını veya bir kısmını kontrol etmiyorsa, diğer ağın sahibi de genellikle değerlendirme planına yazılı olarak izin vermelidir. Benzer bir durum, birden çok kuruluşa hizmet sağlamak için sanal makine teknolojisini kullanan bir sistem gibi kuruluşlar tarafından paylaşılan sistemleri içerir. Değerlendirme planını imzalayarak, tüm taraflar değerlendirmeyi kabul eder ve onaylar.

Değerlendirme planı, hangi sistemlerin değerlendirme için yetkilendirildiğini belirlemenin yanı sıra, izin verilen testin türünü ve seviyesini de detaylandırmalıdır. Örneğin, kuruluş bir güvenlik açığı değerlendirmesi istiyorsa, değerlendirme planı, hedef ağda gerçekleştirilmesine izin verilen faaliyetler hakkında bilgi sağlamalıdır – bağlantı noktası ve hizmet tanımlama, güvenlik açığı taraması, güvenlik yapılandırması incelemesi ve şifre kırma gibi – yeterli ayrıntı dahil test türünü, yaklaşımı ve araçları tanımlamak için. Örneğin, şifre kırma kullanılacaksa, şifrelerin elde edileceği yöntem (örneğin, ağdan koklamak veya işletim sistemi şifre dosyasından kopyalamak) değerlendirme planına dahil edilmelidir. Plan ayrıca, yorumlamaya yer bırakmayacak şekilde, yasaklanmış olan her türlü faaliyeti (örneğin, dosya oluşturma ve değiştirme) açıkça belirtmelidir. Bir değerlendirme sırasında yetkilendirmenin kapsamı ve düzeyiyle ilgili sorular ortaya çıkarsa, değerlendiriciler ve kuruluşun belirlenen temas noktası bunları tartışmak için bir araya gelmelidir.

Plan aynı zamanda görevin lojistik ayrıntılarını da ele almalıdır – değerlendiriciler için çalışma saatleri dahil; gerekli izin veya geçmiş kontrol seviyesi; mevcut iletişim bilgileri, ağ ve güvenlik operasyon merkezleri ve değerlendirme için kuruluşun ana iletişim noktasını içeren bir çağrı planı; değerlendirme faaliyetlerinin ortaya çıkacağı fiziksel konum; ve değerlendirmeyi gerçekleştirmek için kullanılacak ekipman ve araçlar. Ana kuruluşları, kolluk kuvvetlerini ve bir bilgisayar olayına müdahale ekibini (CIRT) bilgilendirmeye yönelik tüm gereksinimler değerlendirme planında tanımlanmalıdır. Ek olarak, bekleyen güvenlik değerlendirmesinden kurumları bilgilendirmekten sorumlu kişi belirlenmelidir. Gizli veya diğer habersiz testler durumunda, değerlendirme planı ayrıca, takip edilecek sorun giderme süreçleri dahil olmak üzere, test faaliyetinin kuruluşun güvenlik personeli, CIRT ve diğerleri tarafından nasıl tespit edilip raporlanması gerektiğini de tanımlamalıdır. Bunun birincil amacı, değerlendirme faaliyetinin, güvenlik ihlallerinin harici olay müdahale ekipleri gibi harici taraflara raporlanmasını tetiklememesini sağlamaktır.

Yöneticilerin sızma testi saldırıları gibi değerlendirme faaliyetlerini gerçek kötü niyetli saldırılardan ayırt edebilmeleri için, değerlendirme faaliyetlerinin gerçekleştirileceği makinelerin IP adresleri değerlendirme planında belirlenmelidir. Güvenlik yöneticileri, değerlendirmenin hedefleri için uygunsa, saldırı tespit sistemlerini ve diğer güvenlik izleme cihazlarını test sırasında bu IP adresleri tarafından oluşturulan etkinliği yok sayacak şekilde yapılandırabilir.

Veri işleme gereksinimleri, aşağıdakiler dahil olmak üzere değerlendirme planında ele alınmalıdır:

  • Sistemlerin fiziksel güvenliği, şifreler ve veri şifreleme dahil olmak üzere değerlendiricilerin sistemlerinde değerlendirme sırasında kurumsal verilerin depolanması
  • Uzun vadeli depolama gereksinimlerini veya güvenlik açığı takibini karşılamak için değerlendirmenin tamamlanması üzerine veri depolama
  • Değerlendirme sırasında veya sonrasında dahili veya harici ağlar üzerinden veri iletimi (ör. İnternet)
  • Değerlendirmenin tamamlanmasının ardından verilerin sistemlerden kaldırılması – özellikle, yönetim kuruluşunun politikaları veya prosedürleri tarafından belirlenen özel gereksinimlere referanslar içeren üçüncü taraf değerlendirmeleri için.

Son olarak, değerlendirme planı, değerlendiricilerin değerlendirme sırasında bir olaya neden olması veya bir olayı ortaya çıkarması durumunda olayın ele alınmasına ilişkin özel rehberlik sağlamalıdır.

Planın bu bölümü olay terimini tanımlamalı ve bir olayın meydana gelip gelmediğini belirlemek için yönergeler sağlamalıdır. Plan, değerlendiriciler için, genellikle değerlendirme ekip lideri ve yardımcı ekip lideri ve kuruluşun güvenlik grubu için belirli birincil ve alternatif temas noktalarını belirlemelidir. Bir olayın meydana geldiğinin belirlenmesi üzerine hem değerlendiriciler hem de kuruluşun güvenlik grubu tarafından alınacak eylemleri açıkça belirten yönergeler dahil edilmelidir. Örneğin, değerlendiriciler ağ içinde gerçek bir saldırgan veya saldırganın ayak izlerini keşfederse, test durmalı mı? Eğer öyleyse, test ne zaman başlayabilir – ve kimin yetkisiyle? Değerlendirme planı, bu durumlarda değerlendiricilerin hangi eylemleri yapması gerektiğine dair net talimatlar sağlamalıdır.

Bazı değerlendirmeler, bir değerlendirme planına ek olarak veya bunun yerine ROE kullanır. ROE, bir değerlendirme planındaki aynı bilgileri içerir ve ayrıca genellikle organizasyon tarafından yasaklanan test faaliyetlerini ele alır. Örneğin, sistemlerin güvenliğini aşmak için saldırılar düzenlemek gibi sızma testi sırasında sıklıkla gerçekleştirilen bazı faaliyetler, genellikle bir kuruluşun politikaları tarafından yasaklanır. ROE, değerlendiricilere, değerlendirme sürecinin bir parçası olarak bu tür faaliyetleri yürütme yetkisi verir. Ek B, bir ROE için örnek bir şablon sağlar.

Her kuruluş, değerlendirme planlarının ve / veya ROE’lerin ne zaman kullanılması gerektiğini belirlemelidir. Kuruluşlar ayrıca merkezi değerlendirme planları veya ROE şablonları veya kısmi taslaklar geliştirmeyi ve tutarlılığı desteklemek için bunların kullanılmasını zorunlu kılmayı düşünmelidir.

6.6 Yasal Konular

Bir değerlendirme için olası yasal endişelerin değerlendirilmesi, değerlendirme başlamadan önce ele alınmalıdır. Hukuk danışmanlarının katılımı kuruluşun takdirine bağlı olmakla birlikte, sızma testi gibi müdahaleci testlere her zaman dahil olmaları önerilir. Bir kuruluş bir dış kuruluşa bir değerlendirme yapması için yetki verirse, her kuruluşun hukuk departmanları dahil olabilir. Bu departmanlar, değerlendirme planının gözden geçirilmesine ve güvenlik değerlendirmelerini düzenleyen sözleşmelerde sorumluluk sınırlaması veya tazminat sağlanmasına yardımcı olabilir – özellikle de müdahaleci kabul edilen test türleri için. Hukuk departmanı ayrıca harici kuruluşlardan, değerlendiricilerin hassas, özel veya başka bir şekilde kısıtlanmış bilgileri onaylanmamış kuruluşlara ifşa etmesini yasaklayan ifşa etmeme anlaşmaları imzalamalarını isteyebilir.

Hukuk departmanı ayrıca kuruluşun sahip olabileceği gizlilik endişelerini de ele almalıdır. Çoğu kuruluş, sistemlerinin izlendiğini açıklayan uyarı afişlerine veya imzalanmış kullanıcı sözleşmelerine sahiptir ve bu, kişilerin sistemi kullanarak izlemeye onay verdiklerini belirtir. Ancak, tüm kuruluşlar bunları uygulamaz ve hukuk departmanı, değerlendirme başlamadan önce olası gizlilik ihlallerini ele almalıdır. Ek olarak, toplanan veriler, kuruluşa ait olmayan hassas verileri veya gizlilik endişeleri yaratabilecek kişisel çalışan verilerini içerebilir. Değerlendiriciler bu risklerin farkında olmalı ve hukuk departmanı tarafından belirlenen gereklilikleri izleyen paket yakalamaları yapmalıdır. Hukuk departmanı ayrıca veri gizliliğini sağlamak için veri işleme gereksinimlerini belirleyebilir (örn. Güvenlik açıkları).

6.7 Özet

Bilgi güvenliği değerlendirmesi, organizasyonel gereksinimler, bir organizasyon içindeki sistemlerin sayısı ve türü, kullanılacak teknik teknikler ve değerlendirmelerle ilişkili lojistik nedeniyle karmaşık bir faaliyettir. Güvenlik değerlendirmeleri basitleştirilebilir ve ilgili riskler yerleşik, tekrarlanabilir bir planlama süreci aracılığıyla azaltılabilir. Bir güvenlik değerlendirmesinin doğru ve zamanında planlanması, değerlendirme başarısı için gerekli tüm faktörlerin dikkate alınmasını da sağlayabilir.

Bir değerlendirme planlamasına dahil olan temel faaliyetler şunları içerir:

Bir güvenlik değerlendirme politikası geliştirmek.

Kuruluşlar, güvenlik değerlendirmeleri için yön ve rehberlik sağlamak için bir bilgi güvenliği değerlendirme politikası geliştirmelidir. Bu politika, güvenlik değerlendirme gereksinimlerini belirlemeli ve değerlendirmelerin gereksinimlere uygun olmasını sağlamaktan sorumlu kişileri sorumlu tutmalıdır. Onaylanan politika, organizasyon için değerlendirmeler yapacak üçüncü şahısların yanı sıra uygun personele de yayılmalıdır. Politika en az yılda bir kez ve değerlendirmeyle ilgili yeni gereksinimler olduğunda gözden geçirilmelidir.

Değerlendirmelere öncelik verme ve planlama.

Kuruluşlar, hangi sistemlerin değerlendirmeye tabi tutulacağına ve bu değerlendirmelerin ne sıklıkla yapılması gerektiğine karar vermelidir. Bu önceliklendirme, sistem kategorizasyonuna, beklenen faydalara, programlama gereksinimlerine, değerlendirmenin bir gereklilik olduğu geçerli düzenlemelere ve kaynak kullanılabilirliğine dayalıdır. Teknik hususlar, test yapılmadan önce bilinen zayıflıklar düzeltilene kadar veya sistemde planlı bir yükseltme gerçekleştirilinceye kadar beklemek gibi değerlendirme sıklığının belirlenmesine de yardımcı olabilir.

Teknik test ve inceleme tekniklerinin seçilmesi ve özelleştirilmesi.

Belirli bir değerlendirme için hangi tekniklerin kullanılması gerektiğini belirlerken kuruluşların göz önünde bulundurması gereken birçok faktör vardır. Faktörler, değerlendirme hedeflerini, bu hedefleri destekleyecek bilgileri elde edebilecek teknik sınıflarını ve her sınıf içindeki uygun teknikleri içerir. Bazı teknikler, ilgili tekniklerin seçilebilmesi için kuruluşun değerlendiricilerin bakış açısını (örneğin, iç ve dış) belirlemesini gerektirir.

Değerlendirmenin lojistiğinin belirlenmesi.

Bu, değerlendirme ekibi dahil gerekli tüm kaynakların tanımlanmasını içerir; değerlendirmenin yapılacağı ortamları ve yerleri seçmek; ve gerekli tüm teknik araçların edinilmesi ve yapılandırılması.

Değerlendirme planının geliştirilmesi.

Değerlendirme planı, bir değerlendirme için planlanan faaliyetleri ve diğer ilgili bilgileri belgeler. Değerlendiricilerin uyması gereken kuralları ve sınırları sağlamak için her değerlendirme için bir plan geliştirilmelidir. Plan, değerlendirilecek sistemleri ve ağları, izin verilen testin türü ve seviyesini, değerlendirmenin lojistik ayrıntılarını, veri işleme gereksinimlerini ve olay işleme için kılavuzu tanımlamalıdır.

Yasal hususları ele almak.

Kuruluşlar, bir değerlendirmeye başlamadan önce, özellikle değerlendirme müdahaleci testler içeriyorsa (örneğin, sızma testi) veya değerlendirme harici bir kuruluş tarafından yapılacaksa, potansiyel yasal endişeleri değerlendirmelidir. Hukuk departmanları, değerlendirme planını gözden geçirebilir, gizlilik sorunlarını ele alabilir ve değerlendirme planlamasını desteklemek için diğer işlevleri yerine getirebilir.

7. Güvenlik Değerlendirme Yürütme

Güvenlik değerlendirmesinin yürütülmesi sırasında, zafiyetler planlama aşamasında kararlaştırılan yöntem ve tekniklerle belirlenir ve değerlendirme planında veya ROE’de belirlenir. Değerlendirmenin plana veya ROE’ye uygun olarak yürütülmesi kritik öneme sahiptir ve bu bölümün amacı, değerlendiricilerin uygulama aşaması boyunca göz önünde bulundurması gereken kilit noktaları vurgulamaktır. Örneğin, değerlendirme boyunca uygun koordinasyon, değerlendirme sürecini kolaylaştırır ve ilişkili risk olasılığını azaltır. Olay yönetimi ve kuruluşların değerlendirme yaparken karşılaştıkları zorluklar gibi temel hususlar da vurgulanır. Bu bölüm ayrıca analiz sürecini tartışır ve değerlendirmeyle ilgili verilerin toplanması, depolanması, iletilmesi ve yok edilmesi için öneriler sunar.

7.1 Koordinasyon

Bir değerlendirme boyunca, değerlendiricilerin organizasyondaki çeşitli kuruluşlarla koordinasyon içinde olması çok önemlidir. Koordinasyon gereksinimleri, değerlendirme planı veya ROE tarafından belirlenir ve buna göre takip edilmelidir. Uygun koordinasyon şunları sağlamaya yardımcı olur:

  • Paydaşlar, değerlendirme çizelgesinin, faaliyetlerinin ve değerlendirmenin sahip olabileceği potansiyel etkilerin farkındadır.
  • Değerlendirme, yükseltmeler sırasında, yeni teknoloji entegrasyonu sırasında veya sistem güvenliğinin değiştirildiği diğer zamanlarda yapılmaz (örneğin, test, bakım dönemlerinde veya düşük kullanım dönemlerinde gerçekleşir)
  • Değerlendiricilere, uygun şekilde tesise ve sistemlere gerekli erişim seviyeleri sağlanır
  • CIO, CISO ve ISSO gibi uygun personel, keşfedildikleri anda kritik yüksek etkili güvenlik açıklarından haberdar edilir

Bir olay durumunda uygun kişiler bilgilendirilir (örn. Değerlendiriciler, olay müdahale ekibi, üst yönetim). Böyle bir durumda, olay ele alınana kadar faaliyetlerin durdurulması ve değerlendiricilere, değerlendirme planına veya ROE’ye uygun olarak faaliyetlerine devam etmeleri için onay verilmesi tavsiye edilir. Değerlendirme faaliyetlerinin ne ölçüde askıya alınması gerektiği kuruluşa ve olayın türüne göre değişir, ancak çoğu durumda askıya alınan etkinlikler yalnızca olaya doğrudan dahil olan sistemleri ilgilendirenlerdir.

Değerlendiriciler ve kuruluş arasındaki koordinasyon seviyesi, öncelikle sistem ve yürütülen değerlendirme tarafından yönlendirilir. Kritik sistemler, görev boyunca sistem kullanılabilirliğini sağlamak için genellikle daha fazla koordinasyon gerektirir ve değerlendirme teknikleri, yürütme sırasında hedef sistem için farklı seviyelerde risk oluşturur. İnceleme kategorisine giren tekniklerin minimum riski vardır; hedef tanımlama ve analiz kategorisi orta düzeyde risk taşır; ve yüksek risk, hedef güvenlik açığı doğrulama kategorisiyle ilişkilidir. Örneğin, sızma testinden geçen kritik bir sistem, genellikle kritik bir sistemin belge incelemesine veya kritik olmayan bir sistemin sızma testine göre daha fazla koordinasyon gerektirir. Bununla birlikte, kuruluşlar bunun tersinin doğru olduğu durumlarla karşılaşabilirler ve bu gibi durumlarda koordinasyon düzeyi, gereksinimler ve kurumsal hususlarla orantılı olmalıdır. Değerlendiriciler ve sistem sahipleri gibi diğer paydaşlar, değerlendirmelerin yürütülmesi sırasında tetikte kalmalıdır. Değerlendiricilerin ihtiyaç duyduğu erişim seviyesi, uygun fiziksel ve sistem erişimine sahip olmalarını sağlamak için koordinasyonu da yönlendirecektir (örneğin, içeriden gelen tehdidi test ederken).

Değerlendiriciler, organizasyondaki uygun taraflarla iletişimlerinde proaktif olmalıdır. Bu iletişim, periyodik durum toplantıları ve günlük veya haftalık raporlarla sağlanabilir. Toplantıya katılanlar ve rapor alıcıları, değerlendirme planında veya ROE’de tanımlanmalıdır ve değerlendiriciler, ISSO, CISO ve CIO’yu içerebilir. Durum toplantılarının ve raporlarının sıklığı, değerlendirmenin uzunluğuna ve karmaşıklığına bağlı olacaktır. Örneğin, bir aylık bir sızma testi için, durum toplantıları, aktif test aşamasında (yani, sistemlerin kullanıldığı süre boyunca) sağlanan günlük raporlarla haftalık olarak yapılabilir. Toplantılar ve raporlar, bugüne kadar tamamlanan faaliyetleri, başarı oranını, karşılaşılan sorunları ve kritik bulguları / önerilen düzeltmeleri ele almalıdır.

7.2 Değerlendirme

Bölüm 6’da tartışıldığı gibi, değerlendirme planı veya ROE, değerlendirmenin yürütülmesi için yönergeler sağlar. Orijinal imza sahibinden veya komutan kişiden normal olarak yazılı olarak belirli bir sapma izni alınmadıkça, plana veya ROE’ye uyulmalıdır. Tüm değerlendiricilerin planı veya ROE’yi okuması ve anlaması çok önemlidir. Değerlendiricilerin, özellikle hedef güvenlik açığı doğrulama kategorisindeki faaliyetler durumunda, değerlendirme sırasında planı veya ROE’yi periyodik olarak gözden geçirmesi önerilir.

Bir değerlendirme sırasında, kuruluşun olay müdahale ekibi bir olay tespit edebilir. Bunun nedeni, değerlendiricilerin eylemleri veya değerlendirme devam ederken bir saldırı gerçekleştiren gerçek bir düşman olabilir. Ne olursa olsun, olay müdahale ekibi veya olayı keşfeden kişi, kuruluşun normal sorun giderme prosedürlerini takip etmelidir ve değerlendiriciler, aksi belirtilmedikçe değerlendirme planı veya ROE tarafından belirlenen yönergeleri takip etmelidir. Değerlendirme sırasında bir düşmanın varlığı tespit edilirse, derhal uygun kişiye bildirilmeli ve değerlendiriciler, değerlendirme planında veya ROE’de tanımlanan protokolü takip etmelidir. Kuruluş müdahalesini gerçekleştirirken, değerlendiricilerin olayla ilgili sistemleri değerlendirmeyi bırakmaları önerilir.

Değerlendiriciler, yeni olaylarla karşılaşmanın veya mevcut olayları ortaya çıkarmanın yanı sıra, değerlendirme sırasında başka teknik, operasyonel ve politik zorluklarla da karşılaşabilir. Bunlar şunları içerebilir:

Direnç.

Değerlendirmelere direnç, sistem ve ağ yöneticileri ve son kullanıcılar dahil olmak üzere bir kuruluş içindeki birçok kaynaktan gelebilir. Bunun nedenleri arasında sistem veya ağ kullanılabilirliğini kaybetme korkusu, kınanma korkusu, rahatsızlık ve değişime karşı direnç yer alabilir. Üst yönetim onayı ve desteği almak, dirençle ilgili sorunların çözülmesine yardımcı olur ve güvenlik değerlendirmelerinin kuruluşun genel güvenlik politikasına dahil edilmesi, yöneticileri ve kullanıcıları şaşırtmayan bir süreç oluşturmaya yardımcı olur.

Gerçekçilik Eksikliği.

Bir değerlendirmeye hazırlanırken, kullanıcılar ve yöneticiler bazen sistemlerini daha güvenli, saldırılara karşı dirençli veya ilkeler ve diğer gereksinimlerle daha uyumlu hale getirmek için ayarları değiştirirler. Bu olumlu olarak görülebilse de, bu koşullar altında yapılan değişiklikler genellikle yalnızca değerlendirme süresince korunur, ardından sistemler önceki yapılandırmalarına geri döndürülür. Kullanıcılara ve yöneticilere önceden bildirimde bulunulmaması, bu zorluğun üstesinden gelinmesine yardımcı olur. Birçok kuruluş, duyurulan değerlendirmelerini desteklemek için ara sıra habersiz değerlendirmeler yapar.

Anında Azaltma.

Bir değerlendirme sırasında güvenlik zayıflıkları belirlendiğinden, yöneticiler bunları azaltmak için acil adımlar atmak isteyebilir ve denetçilerin sorunların çözüldüğünü doğrulamak için sistemi hızla yeniden değerlendirmesini bekleyebilir. Bu hızlı hafifletme isteği takdire şayan olsa da, değerlendiriciler kuruluşun değişiklik yönetimi politikalarını ve prosedürlerini takip etmenin önemini iletmelidir.

Zaman.

Güvenlik değerlendirmesi, genellikle geliştirme veya dağıtım döngüsünün düzenli bir parçası haline getirilmesi gerektiğinde, çok az bildirim ve dar zaman dilimleriyle geliştirme veya dağıtımla birleştirilir. Üretimdeki kritik sistemleri ve ağları test ederken zaman da bir zorluktur – test tekniklerinin kullanılabilirlik kaybına veya başka sorunlara neden olma potansiyeli varsa, sistemlerin ve ağların mesai saatleri dışında test edilmesi gerekebilir. Değerlendiriciler genellikle zaman dilimlerini test etmekle sınırlıdır, gerçek saldırganlar bu tür kısıtlamalarla sınırlı değildir.

Kaynaklar.

Güvenlik değerlendirmesi, yeterli kaynakları (örneğin, yetenekli bir test ekibi ve güncel donanım ve yazılım) elde etme ve sürdürmenin sürekli zorluğuyla karşı karşıyadır. Kuruluşların, yalnızca değerlendirmeler için kullanılmak üzere dizüstü bilgisayarlar ve kablosuz kartlar gibi güvenlik değerlendirme ekipmanlarını belirlemeleri önerilir.29 Ticari değerlendirme yazılımı kullanılıyorsa, sürekli lisansların ve destek sözleşmelerinin satın alınması düşünülmelidir. Değerlendiriciler, tüm değerlendirme yazılımının düzgün bir şekilde yamalandığından ve güncel olduğundan emin olmak için değerlendirme başlamadan önce zaman planlamalıdır. İç değerlendiriciler mevcut değilse veya değerlendirme gerekliliklerini karşılamıyorsa, dışarıdan güvenilir, güvenilir değerlendiriciler bulmak zor olabilir. Kuruluşlar, yerleşik bir metodolojisi, kanıtlanmış süreçleri, karşılaştırılabilir ve yeterli geçmiş performansı ve deneyimli personeli olan bir firma aramalıdır. Bir kuruluş, dahili değerlendiriciler kullanıyorsa, yetenekli değerlendiricileri işe almaya ve eğitmeye devam etmeli ve tükenmişliği önlemek için kurum içinde değerlendiricilerin dahil olabileceği başka zorlu fırsatlar sunmalıdır.

Gelişen Teknoloji.

Değerlendiricilerin araçlar ve test teknikleri konusunda güncel kalması gerekir. Bütçeler, değerlendiricilerin becerilerini güncelleyebilecekleri ve yenileyebilecekleri yıllık eğitim sınıflarına ve konferanslara izin vermelidir.

Operasyonel Etki.

Değerlendirmeler operasyonel etkiyi önlemek veya sınırlandırmak için planlansa da, her zaman kazara veya beklenmeyen komplikasyon olasılığı vardır. Gerçekleştirilen her test bir zaman damgası, test türü, kullanılan araç, komutlar, test ekipmanının IP adresi vb. İle kaydedilmelidir. Test işlemi sırasında kullanılan tüm komutları ve tuş vuruşlarını yakalamak için bir günlük kaydı komut dosyasının kullanılması önerilir. Bir test uzmanının eylemlerini kaydedebilen terminal ve GUI araçları mevcuttur ve bu tür bir kayıt, testin işlemleri ve sistem performansını olumsuz etkilediği yönündeki suçlamalara karşı koymaya da yardımcı olabilir. Operasyonel etki riski nedeniyle, test sırasında yerleşik bir olay müdahale planının olması önerilir.

7.3 Analiz

Bir değerlendirme tamamlandıktan sonra bazı analizler yapılabilse de (bkz. Bölüm 8.1), çoğu analiz değerlendirmenin kendisi sırasında gerçekleşir. Analiz yapmanın birincil amacı, yanlış pozitifleri belirlemek, güvenlik açıklarını kategorize etmek ve güvenlik açıklarının nedenlerini belirlemektir. Otomatik araçlar önemli sayıda bulgu üretebilir, ancak bu bulguların genellikle yanlış pozitifleri izole etmek için doğrulanması gerekir. Değerlendiriciler, savunmasız sistemi manuel olarak inceleyerek veya ikinci bir otomatik araç kullanarak ve sonuçları karşılaştırarak güvenlik açıklarını doğrulayabilir. Bu hızlı bir şekilde yapılabilmesine rağmen, bu karşılaştırma araçları genellikle aynı yanlış pozitifler de dahil olmak üzere benzer sonuçlar üretebilir. Manuel inceleme, genellikle birden çok araçtan alınan sonuçları karşılaştırmaktan daha doğru sonuçlar sağlar, ancak aynı zamanda zaman alıcı olma potansiyeline de sahiptir.

Kuruluşlar, olaylara müdahale ve erişim kontrolü gibi kontrolleri ailelere göre düzenleyen NIST SP 800-53’teki güvenlik kontrollerine ve kontrol ailelerine göre bulgularını kategorize etmeyi seçebilirler. Bu sınıflandırma, güvenlik açığı analizini, düzeltmeyi ve dokümantasyonu kolaylaştırabilir.

29. Kuruluşlar, test yapılmadığında özel test ekipmanlarını ağlardan ayırmak isteyebilir.

Bireysel güvenlik açıklarının belirlenmesi ve çözülmesi gerekmekle birlikte, güvenlik açıklarının temel nedenini belirlemek, kuruluşun genel güvenlik duruşunu iyileştirmek için anahtardır çünkü bir temel neden genellikle program düzeyindeki zayıflıklara kadar izlenebilmektedir. Bazı yaygın kök nedenler şunları içerir:

  • Yamaların zamanında uygulanmaması veya yamaların tüm savunmasız sistemlere uygulanmaması gibi yetersiz yama yönetimi
  • Güncel olmayan antivirüs imzaları, etkisiz spam filtreleme ve kuruluşun güvenlik politikasını uygulamayan güvenlik duvarı kural kümeleri dahil olmak üzere yetersiz tehdit yönetimi
  • Benzer sistemlerdeki tutarsız güvenlik yapılandırması ayarları gibi güvenlik temellerinin eksikliği
  • Eksik veya karşılanmamış güvenlik gereksinimleri ve kuruluş tarafından geliştirilen uygulama kodundaki güvenlik açıkları gibi güvenliğin sistem geliştirme yaşam döngüsüne zayıf entegrasyonu
  • Altyapıya düzgün bir şekilde entegre edilmeyen güvenlik teknolojileri gibi güvenlik mimarisi zayıflıkları (örneğin, kötü yerleştirme, yetersiz kapsama alanı veya eski teknolojiler) veya riskleri artıran sistemlerin kötü yerleştirilmesi
  • Sızma testi faaliyetlerine gecikmiş yanıtlar gibi yetersiz olay müdahale prosedürleri
  • Hem son kullanıcılar için (ör. Sosyal mühendislik ve kimlik avı saldırılarını tanımada başarısızlık, hileli kablosuz erişim noktalarının konuşlandırılması) hem de ağ ve sistem yöneticileri için (ör. Zayıf güvenlikli sistemlerin konuşlandırılması, zayıf güvenlik bakımı) yetersiz eğitim
  • Güvenlik politikalarının veya politika uygulamalarının eksikliği (ör. Açık bağlantı noktaları, etkin hizmetler, güvenli olmayan protokoller, hileli ana bilgisayarlar, zayıf parolalar).

Analiz aşaması boyunca başvurulacak yararlı bir kaynak, NIST Ulusal Güvenlik Açığı Veritabanı (NVD) ‘dur. 30 NVD, bilinen güvenlik açıkları için standartlaştırılmış adların bir listesi olan Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) hakkında bilgi içeren bir veritabanıdır. NVD, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ile güvenlik açıklarını puanlar ve güvenlik açığı ile ilgili ek bilgiler ve azaltma önerileri için başvurulacak ek kaynaklar (ör. Satıcı Web siteleri) sağlar.

Analizin bir diğer amacı, değerlendirme boyunca kuruluşun hemen ele alması gereken kritik güvenlik açıklarını belirlemektir. Örneğin, sızma testi, değerlendiricilerin kritik bir sistem üzerinde yönetici hakları kazanmasına izin veren bir güvenlik açığından yararlanıyorsa, değerlendiriciler, değerlendirme planında veya ROE’de tanımlanan kişiyi derhal bilgilendirmelidir.

7.4 Veri İşleme

Değerlendirme boyunca bir kuruluşun verilerinin işlenme yöntemi, sistem mimarisi, güvenlik yapılandırmaları ve sistem açıkları dahil olmak üzere hassas bilgilerin korunmasını sağlamak için kritiktir. Kuruluşlar, değerlendirme planında veya ROE’de veri işleme gereksinimlerinin uygun şekilde belgelendirilmesini sağlamalı ve sistem açıklarının ele alınmasına ilişkin yönetim politikalarına uymalıdır. Bu bölüm, bir görev sırasında değerlendirme verilerinin toplanması, depolanması ve iletilmesi için ve ayrıca bir değerlendirme tamamlandıktan sonra verilerin depolanması ve imha edilmesi için önerilen yöntemler sunar.

30. NVD web sayfası http://nvd.nist.gov/.

7.4.1 Veri Toplama

Değerlendirme boyunca ekip tarafından ilgili bilgiler toplanmalıdır. Bu, değerlendirilen ağların mimarisi ve konfigürasyonu ile ilgili bilgilerin yanı sıra değerlendirici faaliyetlerine ilişkin bilgileri içerir. Bu veriler hassas olduğundan, uygun şekilde işlenmesi önemlidir. Değerlendiricilerin toplayabileceği bilgi türleri şunları içerir:

Mimari ve Yapılandırma Verileri.

Değerlendirme türü ve istenen sonuç, sistem adları, IP adresleri, işletim sistemi, fiziksel ve mantıksal ağ konumları, güvenlik yapılandırmaları ve güvenlik açıklarını içerebilen ancak bunlarla sınırlı olmayan ekip tarafından toplanan verileri yönlendirecektir.

Değerlendirici Faaliyetleri.

Değerlendiriciler, değerlendirme sistemi bilgilerini ve faaliyetlerinin adım adım kaydını içeren bir günlük tutmalıdır. Bu, bir denetim izi sağlar ve kuruluşun, değerlendiricilerin eylemleri ile gerçek düşmanlar arasında ayrım yapmasına olanak tanır. Etkinlik günlüğü, değerlendirme sonuçları raporunun geliştirilmesinde de yararlı olabilir.

Bir değerlendiricinin sisteminde tuş vuruşu kaydedicinin kullanılması, fare tıklamalarını ve belirli diğer eylemleri yakalayamayacak olsa da, birçok test cihazı eyleminin adım adım günlüğünü oluşturabilir.31 Otomatik araçlar için, değerlendiriciler, her bir araçtan denetim günlüklerini tutabilir. kullanıldı. Değerlendiriciler, merkezi bir depolama ve denetim yeteneği oluşturmak için tuş vuruşu kaydedicisinin veya araç denetim günlüğünün çıktısını ayrı bir sisteme aktarmayı seçebilirken, alternatif bir manuel yaklaşım, ağdaki denetçiler tarafından yürütülen her komutu izleyen bir etkinlik günlüğüdür. Bu yaklaşım, değerlendiriciler için zaman alıcıdır ve hataya yer bırakır. Bir etkinlik günlüğü kullanılıyorsa, en azından şu bilgileri içermelidir – tarih ve saat, değerlendiricinin adı, değerlendirme sistemi tanımlayıcısı (yani, IP veya MAC), hedef sistem tanımlayıcısı (yani, IP veya MAC), kullanılan araç, komut yürütülür ve yorumlar.

7.4.2 Veri Depolama

Güvenlik açıkları, analiz sonuçları ve azaltma önerileri dahil olmak üzere değerlendirme sırasında toplanan verilerin güvenli bir şekilde depolanması, değerlendiricilerin sorumluluğundadır. Bu bilgilerin uygunsuz bir şekilde açıklanması, kuruluşun itibarına zarar verebilir ve istismar olasılığını artırabilir. Değerlendiriciler, asgari olarak, kuruluşun güvenlik durumunu belirlemek, analiz etmek ve raporlamak için kullanılacak aşağıdaki bilgileri saklamalı ve test faaliyetlerinin denetim kaydını sağlamalıdır:

  • Değerlendirme planları ve ROE’ler
  • Sistem güvenliği yapılandırması ve ağ mimarisi hakkında belgeler
  • Otomatik araçlardan ve diğer bulgulardan elde edilen sonuçlar
  • Değerlendirme sonuçları raporu
  • Düzeltici eylem planı veya Eylem Planı ve Kilometre Taşları (POA & M).

Bulunan güvenlik açıkları hakkındaki bilgileri depolamak için, bulguları kullanılan araç tarafından çıktı biçiminde tutmak veya bulguları bir veritabanına aktarmak gibi birçok seçenek mevcuttur.32 Güvenlik açığı tarama araçlarının çoğu, sistemi, güvenlik açıklarını ve önerilen azaltma

31. Bir tuş vuruşu kaydedici, sistem kullanıcısı tarafından yapılan her tuş vuruşunu kaydeder ve bir günlüğe yerleştirir. Bu kayıt seviyesi, değerlendiricilere ağdaki her eylemi izlemek için bir yöntem sağlar ve değerlendirilen kuruluşun, değerlendiricilerin ağda tam olarak neyi gerçekleştirdiğini, ne zaman gerçekleştiğini ve testi hangi sistemin yaptığını görmesini sağlar. Ek olarak, bu tür bir kayıt, değerlendiricilere, bir ağ sisteminin arızalanmasının veya tehlikeye atılmasının nedeni olmadıklarına dair belgeler sağlar.

32. Güvenlik açığı bilgilerinin saklanması, geçmiş karşılaştırmalar yapmak için de yararlı olabilir.

teknikleri. Değerlendirmenin kapsamı küçükse (örneğin, yalnızca bir araç kullanıyorsa) bu kabul edilebilir bir yaklaşım olabilir. Daha derinlemesine değerlendirmeler, daha büyük kuruluşlar veya birden çok araç veya yaklaşım kullanan değerlendirmeler için, bir elektronik tablo veya veritabanı gibi daha sağlam ve işbirliğine dayalı bir depolama yöntemi geliştirilebilir. İşlevsellik sınırlı olsa da, kullanımı kolay, genellikle geliştirmesi hızlı olduğundan ve bulguları uyumlu bir formatta çıkarabilen bir dizi aracı barındırabildiğinden, bir elektronik tablo bireysel incelemeler veya testler için uygun olabilir. Birden fazla teknik yaklaşıma sahip karmaşık incelemeler veya testler, düzenli olarak tekrar eden değerlendirme eylemleri veya verileri kolayca ilişkilendirme ihtiyacı olan durumlar için bir veritabanı geliştirmek faydalı olabilir.

Kuruluşlar, değerlendirme planı veya ROE, ham güvenlik açığı verileri ve değerlendirme raporları gibi tüm hassas değerlendirme verilerinin güvenli bir şekilde depolanmasını sağlamalıdır. Bir düşmanın elinde, ağ mimarisi, sistem yapılandırması, güvenlik kontrolleri ve belirli sistem güvenlik açıkları ile ilgili bilgiler, kuruluşun bilgi sistemlerinden yararlanmak için bir plan ve yol haritası sağlayacaktır. Kuruluşlar bu verileri çıkarılabilir medyada veya gerektiğinde erişilebilen bir bilgi sisteminde saklamayı seçebilirler. Bu bilgileri depolamak için tasarlanmış çıkarılabilir ortam veya sistem, günlük ağ kaynaklarından fiziksel veya mantıksal olarak izole edilmelidir. Bu sisteme erişim ve içerdiği bilgiler, rolleri ve sorumlulukları yerine getirmek için erişimi gereken kişilerle sınırlı olmalıdır. Bu verilerin ayrıca güvenli kalmasını sağlamak için FIPS 140-2’ye uygun olarak şifrelenmesi önerilir.

Güvenlik değerlendirme verileri için saklama gereksinimleri değişiklik gösterir ve bir kuruluş için açıkça belirtilmeyebilir, bu durumda değerlendirme için saklama gereksinimleri, değerlendirme planında veya ROE’de belirtilmelidir. Bir değerlendirme için doğru kayıtların tutulması, bir kuruluşa, güvenlik açıklarının denetim izini ve belirlenen riskleri azaltmak için attığı iyileştirme önlemlerini sağlar. Zaman içinde tutulan bir denetim izi, kuruluşların güvenlik açığı türü, ortaya çıkma sıklığı, düzeltmeye kadar geçen ortalama süre vb. Gibi ölçümlerin eğilim analizlerini gerçekleştirerek bilgi güvenliği programlarının etkinliğini değerlendirmelerine olanak sağlayabilir.

Sunucular, dizüstü bilgisayarlar veya diğer mobil cihazlar gibi değerlendirme sistemleri, uygun fiziksel ve mantıksal güvenlik önlemleri olmadan hassas veriler depolanırken gözetimsiz bırakılmamalıdır. Örneğin, mobil sistemler kilitli olmayan araçlarda veya kilitli araçlarda açıkta bırakılmamalı ve otel odalarındaki mobil cihazlar kablo kilidi ile sabitlenmeli, oda kasasında saklanmalı veya başka yollarla fiziksel olarak emniyete alınmalıdır. Bu fiziksel korumalara ek olarak, değerlendiriciler, sistemin, rakipleri tehlikeye atmasını engelleyecek şekilde yapılandırıldığından emin olmalıdır. Değerlendiriciler, bir sistemin içerdiği verilerin bütünlüğünü ve gizliliğini sağlamak ve sistemi en azından güçlü bir parola ile korumak için uygun önlemleri almalıdır – ve kuruluşların iki faktörlü kimlik doğrulama kullanmayı düşünmeleri önerilir.33 Ayrıca, sistem şifrelenmelidir, 34 ve şifrelenmiş bilgilere erişimi kısıtlamak için sistem kimlik doğrulamasından ayrı bir kimlik doğrulama mekanizması kullanılmalıdır.

7.4.3 Veri Aktarımı

Sistem yapılandırmaları ve güvenlik açıkları gibi değerlendirme verilerinin ağ veya İnternet üzerinden iletilmesi gerekli olabilir ve güvenliğini tehlikeye atmaktan korumak için iletilen verilerin güvenliğini sağlamak önemlidir. Değerlendirme planı veya ROE, hassas sistem bilgilerinin ağ veya İnternet üzerinden iletilmesine ilişkin gereksinimleri ele almalı ve işlemelidir.

33. İki faktörlü kimlik doğrulama, aşağıdaki üç faktörden ikisini zorunlu kılarak ek güvenlik sağlar – bildiğiniz bir şey (ör. Şifre), sahip olduğunuz bir şey (ör. Güvenlik anahtarı) ve olduğunuz bir şey (ör., Retina taraması).

34. Bu tür veriler, güvenli kalmasını sağlamak için FIPS 140-2’ye uygun olarak şifrelenmelidir.

Güvenli veri aktarım yöntemleri arasında hassas bilgiler içeren tek tek dosyaların şifrelenmesi, iletişimin şifrelenmesi yer alır.

FIPS uyumlu şifreleme kullanan kanallar (ör. VPN’ler, Güvenli Yuva Katmanı [SSL] protokolü) ve teslim edilen veya postalanan basılı veya elektronik kopyalar aracılığıyla bilgi sağlayan…

7.4.4 Veri Yok Etme

Değerlendirme verilerine artık ihtiyaç duyulmadığında, değerlendirme sistemleri, basılı belgeler ve medya uygun şekilde sterilize edilmelidir. NIST SP 800-88, Guidelines for Media Sanitization35, medya sterilizasyonunu dört kategoriye ayırır:

İmha etme: medyayı başka hiçbir temizlik önlemi olmaksızın atma eylemi. Bu çoğunlukla gizli olmayan bilgiler içeren ancak başka ortamları da içerebilen kağıtların geri dönüştürülmesiyle yapılır.

Clearing: Bilgi gizliliğini güçlü bir klavye saldırısına karşı koruyacak bir ortam temizleme düzeyi. Kalemlerin basitçe silinmesi, takas için yeterli değildir. Temizleme, bilgilerin veri, disk veya dosya kurtarma yardımcı programları tarafından alınmasını engellemeli ve standart giriş aygıtlarından ve veri atma araçlarından gerçekleştirilen tuş vuruşu kurtarma girişimlerine dirençli olmalıdır. Üzerine yazma, ortamı temizlemek için kabul edilebilir bir yöntem örneğidir.

Temizleme: bir laboratuvar saldırısına karşı bilgi gizliliğini koruyan bir ortam temizleme süreci.36 Bazı ortamlar için, ortam temizliği temizleme için yeterli değildir. Ortam temizleme alternatiflerine örnek olarak, sabit yazılım Güvenli Silme komutunun yürütülmesi (yalnızca Gelişmiş Teknoloji Eki [ATA] sürücüleri için) ve manyetikliğin giderilmesi37 gösterilebilir.

İmha: medyanın artık amaçlanan amacı için kullanılamaz hale getirmek için fiziksel olarak yok edilmesi ve içerdiği verileri artık geri alınamaz hale getirme. Parçalama, yakma, toz haline getirme, parçalama ve eritme dahil olmak üzere çeşitli yöntemlerle fiziksel imha mümkündür.

Kuruluşlar, değerlendirme sistemleri için temizlik gereksinimleri konusunda bir politika sürdürmelidir. NIST SP 800-88, kuruluşların kendi durumları için hangi temizleme yönteminin en uygun olduğunu belirlemelerine yardımcı olmak için bir karar akışı diyagramı sunar. Bir değerlendirme planı veya ROE, belirli testler için imha gereksinimlerini de belirleyebilir.

Üçüncü taraf değerlendiriciler, politika kuruluşlar arasında ve muhtemelen aynı kuruluş içindeki bölümler arasında farklılık gösterebileceğinden kuruluşun temizlik gereksinimlerini anladıklarından emin olmalıdır. Örneğin, bazı kuruluşlar, üçüncü taraf değerlendiricilerin nihai raporları gönderildikten sonra değerlendirme verilerine herhangi bir şekilde erişmelerini yasaklar. Bu tür durumlarda, değerlendirilen kuruluştan kalifiye bir kişi, uygun temizlik önlemlerinin uygulandığını doğrulamalıdır..

35. NIST SP 800-88 is ilgili adresten erişilebilir http://csrc.nist.gov/publications/PubsSPs.html.

36. Bir laboratuvar saldırısı, normal işletim ortamının dışındaki ortamlarda veri kurtarma girişimleri yürütmek için standart dışı sistemleri kullanacak kaynaklara ve bilgiye sahip bir saldırganı içerir. Bu tür saldırı, sinyal işleme ekipmanı ve özel eğitimli personel kullanmayı içerir.

37. Degaussing, kaydedilen manyetik alanları bozmak için manyetik ortamı güçlü bir manyetik alana maruz bırakıyor.

8. Test Sonrası Faaliyetler

Bulguları güvenlik açıkları açısından ifade edilen yürütme aşamasının ardından kuruluş, belirlenen güvenlik açıklarını ele almak için adımlar atmalıdır. Bu bölüm, kuruluşların bulgularını güvenliği artıracak eylemlere çevirebilecekleri yolları sunar. İlk olarak, bulguların son analizi yapılmalı ve etki azaltma eylemleri geliştirilmelidir. İkinci olarak, tavsiyeleri sunmak için bir rapor geliştirilmelidir. Son olarak, azaltma faaliyetleri gerçekleştirilmelidir. Bu bölümde sunulan eylemlerin çoğu, test sürecinin dışında gerçekleşebilir – örneğin, test sonuçlarını kullanan bir risk değerlendirmesinin parçası olarak.

8.1 Etki Azaltma Önerileri

Bölüm 7.3’te açıklandığı gibi, çoğu analiz test süreci sırasında gerçekleşir. Genel sonuçların geliştirilmesi gibi nihai analiz, genellikle tüm test faaliyetleri tamamlandıktan sonra gerçekleşir ve azaltma önerilerinin geliştirilmesini içerir. Güvenlik açıklarının belirlenmesi ve sınıflandırılması önemli olsa da, bir güvenlik testi, aynı zamanda bir azaltma stratejisinin geliştirilmesi ve uygulanmasıyla sonuçlanırsa çok daha değerlidir. Her bulgu için kök neden analizinin sonucunu içeren etki azaltma önerileri geliştirilmelidir. Kuruluşun süreçlerini ele alan hem teknik öneriler (örneğin, belirli bir yamanın uygulanması) hem de teknik olmayan öneriler (ör. Yama yönetimi sürecinin güncellenmesi) olabilir. Etki azaltma eylemlerinin örnekleri arasında politika, süreç ve prosedür değişiklikleri; güvenlik mimarisi değişiklikleri; yeni güvenlik teknolojilerinin konuşlandırılması; ve işletim sistemi ve uygulama yamalarının dağıtımı.

NIST SP 800-53, her güvenlik kontrolü için azaltma önerileri önerir. Kuruluşlar, işlevsellik ve güvenliği en iyi dengeleyen eylemleri belirlemek için potansiyel azaltma eylemlerini operasyonel gereksinimlerle karşılaştırmalıdır. Bölüm 8.3, azaltma önerilerinin uygulanmasını tartışmaktadır.

8.2 Raporlama

Analizin tamamlanmasının ardından, sistem, ağ ve kurumsal güvenlik açıklarını ve bunların önerilen azaltma eylemlerini tanımlayan bir rapor oluşturulmalıdır. Güvenlik testi sonuçları aşağıdaki şekillerde kullanılabilir:

  • Düzeltici faaliyet için referans noktası olarak
  • Belirlenen güvenlik açıklarını ele almak için azaltma faaliyetlerinin tanımlanmasında
  • Bir kuruluşun güvenlik gereksinimlerini karşılamadaki ilerlemesini izlemek için bir kıyaslama olarak
  • Sistem güvenlik gereksinimlerinin uygulama durumunu değerlendirmek için
  • Sistem güvenliğinde iyileştirmeler için maliyet / fayda analizi yapmak
  • Risk değerlendirmeleri, C&A ve süreç iyileştirme çabaları gibi diğer yaşam döngüsü etkinliklerini geliştirmek için
  • FISMA’nınki gibi raporlama gereksinimlerini karşılamak için.

Güvenlik testi sonuçları belgelendirilmeli ve CIO, CISO ve ISSO’nun yanı sıra uygun program yöneticileri veya sistem sahiplerini de içerebilecek uygun personele sunulmalıdır. Bir rapor birden fazla hedef kitleye sahip olabileceğinden, hepsinin uygun şekilde ele alınmasını sağlamak için birden fazla rapor formatı gerekebilir.

Örneğin, FISMA uyumluluğu için raporlar geliştiren kuruluşların, değerlendirmelerden elde edilen bulguların raporlanması, NIST standartlarına uyum, önemli eksiklikler ve planlanan iyileştirme faaliyetleri gibi FISMA gereksinimlerini ele alması gerekir. Organizasyon içinde kalacak raporlar, program yönetimi, bilgi yönetimi, güvenlik mühendisleri, konfigürasyon yönetimi veya teknik personel gibi uygun hedef kitlelere göre uyarlanabilir. Dahili raporlar test metodolojisini, test sonuçlarını, analizi içermelidir ve POA & M.38 A POA & M, bireysel güvenlik açıklarının belirli, ölçülebilir, elde edilebilir, gerçekçi ve somut eylemlerle ele alınmasını sağlayacaktır.

8.3 İyileştirme/Giderme

POA & M, program yönetim ofisine riski uygun ve kabul edilebilir şekilde azaltmak için gereken ayrıntıları ve gerekli eylemleri sağlar. POA & M’nin bir tamamlayıcısı olarak kuruluşlar, planı uygulamak için bir strateji veya süreç geliştirmeyi düşünebilirler. Kuruluşlar, iyileştirme uygulama süreçlerinde en az aşağıda belirtilen dört adımı izlemelidir – bunlar, güvenlik personeli ve program yöneticileri için tutarlılık ve yapı sağlayacaktır.

Süreçteki ilk adım, iyileştirme önerisinin test edilmesidir. Bir üretim varlığında teknik değişiklikler uygulamadan önce, azaltma eyleminin uygulanacağı ağı kopyalayan bir ortamdaki test sistemleri üzerinde test yapılmalıdır. Örneğin, kuruluşa gönderilmeden önce, herhangi bir olumsuz etkinin olup olmadığını belirlemek için test ortamındaki benzer sistemlere yamalar yüklenmelidir. Bu tür testler, bir sistemin teknik bir değişikliğe ters tepki verme riskini önemli ölçüde azaltır, ancak ortadan kaldırmaz.

İkincisi, POA & M, bir kuruluşun konfigürasyon kontrol veya konfigürasyon yönetim kurulu aracılığıyla koordine edilmelidir çünkü POA & M muhtemelen mevcut sistemler, ağlar, politika veya süreçlerde değişiklikler önermektedir. POA & M değişikliklerini hem dağıtımdan önce hem de tamamlandıktan sonra iletmek, uygun kişilerin bekleyen değişikliklerin ve bunların çevre, görev ve operasyonlar üzerindeki etkilerinin farkında olmalarını sağlar. En azından, herhangi bir POA & M eylemi gerçekleştirmeden önce program yöneticisi veya sistem sahibi ile iletişime geçilmeli ve planlanan azaltma eylemleri uygulanmadan önce onaylanmalıdır.

Yönetim onayı almak zor olabilir. Neden gerekli olduğunu (yani politika veya teknoloji tarafından mı yönlendirildiğini) ve azaltma eylemi ile gerçekleştirilecek olumlu etkiyi (yani, artan güvenlik duruşu veya uygunluğu) belirlemek faydalı olabilir. Bir maliyet / fayda analizi, yöneticilere POA & M maddelerini uygulayarak gerçekleştirilecek artan tasarrufların nicel bir analizini de sağlayabilir. Üst yönetime iletilebilecek ek faydalar arasında azalan risk, varlıkların kontrolünün artması, güvenlik açıklarının azalması, güvenliğe proaktif bir yaklaşım ve uyumun sürdürülmesi yer alır.

Üçüncüsü, azaltma eylemleri, uygun ve doğru şekilde uygulanmalarını sağlamak için uygulanır ve doğrulanır. Doğrulama, sistemin bir denetimi yapılarak, sistemi ve bileşenlerini yeniden test ederek ve dokümantasyon yoluyla personeli sorumlu tutarak gerçekleştirilebilir. Sistem denetimi, sistemde uygulanan değişikliklerin teknik doğrulamasını sağlar ve yerinde güvenlik personeli veya harici bir güvenlik test ekibi tarafından yürütülebilir. Denetim ekibi, her bir eylemin gerçekleştirildiğinden emin olmak için azaltma stratejisini bir kontrol listesi olarak kullanabilir – ayrıca, sistemin yeniden test edilmesi, azaltma eylemlerinin tamamlandığını doğrulayacaktır. Test ekibinin, uygulamayı ancak orijinal testin bir ayna kopyası gerçekleştirilirse doğrulayabileceğine dikkat etmek önemlidir. Teknoloji geliştikçe,

38. NIST SP 800-37, bir POA & M’nin “uygulanan veya planlanan önlemleri açıkladığını belirtir: (i) güvenlik kontrollerinin değerlendirilmesi sırasında belirtilen eksiklikleri düzeltmek; ve (ii) bilgi sistemindeki bilinen güvenlik açıklarını azaltmak veya ortadan kaldırmak. Eylem planı ve kilometre taşları belgesi şunları tanımlar: (i) gerçekleştirilmesi gereken görevler; (ii) planın unsurlarını gerçekleştirmek için gerekli kaynaklar; (iii) görevleri yerine getirmede herhangi bir kilometre taşı; ve (iv) kilometre taşları için planlanan tamamlanma tarihleri. “

sonraki güvenlik testleri sırasında ek güvenlik açıkları ortaya çıkarılabilir. Bir kuruluş ayrıca, dokümantasyon gibi teknik olmayan yollarla azaltma stratejisinin uygulanmasını doğrulamayı da seçebilir. Örneğin, güvenlik personelini, tamamlanan tüm eylemleri açıklayan bir belgeyi imzalamalarını talep ederek, azaltma stratejisinin uygulanmasından sorumlu tutmak uygun ve maliyet-etkin olabilir. Bu yöntem bir organizasyon için kısa vadede daha uygun maliyetli olsa da, değişikliklerin uygulandığının teknik olarak doğrulanmaması nedeniyle ortaya çıkan riskler vardır.

Son olarak, uygulama stratejisinin bir parçası olarak, başka bir kişi veya sistem tarafından tamamlanmış, kısmen tamamlanmış veya eylemi bekleyen faaliyetleri belirlemek için POA & Ms’yi sürekli olarak güncellemek önemlidir. POA & M’nin kuruluşun konfigürasyon yönetimi sürecine entegre edilmesini sağlamak, sistemlerde, politikalarda, süreçlerde ve prosedürlerde yapılan değişikliklerin merkezi olarak izlenmesini ve yönetimini kolaylaştıracak ve ayrıca uyumluluk gereksinimlerini ele alacak bir gözetim mekanizması sağlayacaktır.

Ek A — Güvenlik Testi için Canlı CD Dağıtımları

Güvenlik testine odaklanan canlı dağıtım CD’leri halka ücretsiz olarak sunulur ve güvenlik test uzmanlarına güvenlik testi için araçlar içeren canlı bir dağıtım işletim sistemi sağlar.39 İşletim sistemi dağıtımı bir CD-ROM, Evrensel Seri Veri Yolu (USB) üzerine yüklenir sürücü veya diğer çevresel aygıt. Bir sisteme kurulmaz, doğrudan yüklendiği cihazdan çalıştırılır – dolayısıyla “canlı” dağıtım olarak adlandırılır. Bu tür iki dağıtım BackTrack ve Knoppix Security Tool Distribution’dır (STD).

BackTrack40, ağ keşfi, tarama ve koklama, şifre kırma, uzaktan erişim testi, Bluetooth testi, bilgisayar adli tıp ve sızma testi için 300’den fazla güvenlik aracından oluşan bir koleksiyona sahiptir. Kullanıcı modülerliği sunar, yani kullanıcının kişisel komut dosyalarını veya ek araçları içerecek şekilde dağıtımı özelleştirebileceği anlamına gelir. BackTrack ayrıca, Oturum Başlatma Protokolü (SIP) gibi İnternet üzerinden Ses (VoIP) protokollerini analiz etmek için araçlar içerir; özellikle Cisco sistemlerini hedefleyen Cisco Global Exploiter (CGE) ve Cisco Torch gibi araçlar; ve bir güvenlik açığı değerlendirme aracı olan Metasploit. Uygulama güvenliği testinin artan önemini kabul ederek, Peach, Fuzzer ve Java aracı Paros Proxy gibi araçları da içerir. Tablo A-1, BackTrack’te bulunan araçların bir örneğini sağlar. 41

  Tablo A-1. BackTrack Toolkit Örneği     Güvenlik Testi Tekniği Güvenlik Testi Aracı Gözden Geçirme  Ağ Sniffing Dsniff, Ettercap, Kismet, Mailsnarf, Msgsnarf, Ntop, Phoss, SinFP, SMB Sniffer,  and Wireshark        Dosya Bütünlüğü Kontrolü Autopsy, Foremost, RootkitHunter, and Sleuthkit     Hedef Tanımlama ve Analiz Uygulama Güvenliği Testi CIRT Fuzzer, Fuzzer 1.2, NetSed, Paros Proxy, and Peach     Ağ Keşfi Autonomous System Scanner, Ettercap, Firewalk, Netdiscover, Netenum,  Netmask, Nmap, P0f, Tctrace, and Umit        Ağ Port ve Servis Amap, AutoScan, Netdiscover, Nmap, P0f, Umit, and UnicornScan Keşfi         Güvenlik Zaafiyeti Taraması Firewalk, GFI LANguard, Hydra, Metasploit, Nmap, Paros Proxy, Snort, and  SuperScan        Kablosuz Ağ Taraması Airsnarf, Airsnort, BdAddr, Bluesnarfer, Btscanner, FakeAP, GFI LANguard,  Kismet, and WifiTAP        Hedef Güvenlik Açığı Doğrulaması  Şifre Kırma Hydra, John the Ripper, RainbowCrack, Rcrack, SIPcrack, SIPdump, TFTP-  Brute, THC PPTP, VNCrack, and WebCrack        Uzaktan Erişim Testi IKEProbe, IKE-Scan, PSK-Crack, and VNC_bypauth     Sızma Testi Driftnet, Dsniff, Ettercap, Kismet, Metasploit, Nmap, Ntop, SinFP, SMB Sniffer,  and Wireshark      

39. Bu tür araç takımları, belirli bir test için gerekli olabilecek tüm araçları içermek zorunda değildir – çoğu durumda, araç takımlarının ek araçlarla desteklenmesi gerekecektir.

40. BackTrack, iki ayrı Linux canlı güvenlik tabanlı dağıtımdan, WHAX ve Denetçi Güvenlik Koleksiyonu’ndan türetilmiştir. Her ikisi de güvenlik araçlarının bolluğu ve kullanım kolaylığı nedeniyle popülerdi. Her dağıtımın yaratıcıları işbirliği yapmaya başladıktan kısa bir süre sonra, Mayıs 2006’da BackTrack olarak yeniden adlandırılan ilk beta olmayan sürümü yayınladılar. BackTrack hızla güvenlik uzmanları arasında favori bir araç seti haline geldi ve olmaya devam ediyor. BackTrack 3.0, bu yayın için referans verilen sürümdür.

41. Tablo A-1 ve A-2’de listelenen araçların çoğu ek teknikler için listelenebilir, ancak kısaca listelenmemişlerdir.

Daha eski bir Linux canlı işletim sistemi dağıtımı ve açık kaynak güvenlik araç seti, Knoppix Linux’u temel alan Knoppix STD’dir. Başkalarına güvenlik tekniklerinin öğretilmesine yardımcı olmak için bir güvenlik uzmanı tarafından oluşturulmuştur. Knoppix STD ilk olarak Mayıs 2004’te Knoppix-STD 0.1 olarak piyasaya sürüldü ve o zamandan beri güncellenmedi. Daha yeni bir sürümün olmaması, yaratıcısının projeyi terk etmesinden kaynaklanıyor. Sürüm 0.1, bu yayın için başvurulan sürümdür. BackTrack’ten önce Knoppix STD, temel güvenlik araç setiydi ve yaygın olarak kullanılmaktadır.

BackTrack’e benzer şekilde Knoppix STD, ağ keşfi, bağlantı noktası ve hizmet tanımlaması, ağ koklama, şifre kırma, adli tıp ve uzaktan erişim testi sağlar. Dağılımlar arasında bir miktar örtüşme olsa da, bazı farklılıklar da vardır. Knoppix, Netcat ve Nessus gibi BackTrack’in içermediği bazı araçlar içerir; kriptografi gibi teknoloji alanlarına hitap eder; ve bilgisayar adli tıp ve koklama için daha fazla araç sunar. Metasploit sağlamaz ve BackTrack ile karşılaştırıldığında kablosuz güvenlik araçlarında zayıftır. Tablo A-2, Knoppix STD dağıtımında bulunan araçların bir örneğini sunmaktadır.

Tablo A-2. Knoppix STD Araç Seti Örneği
Güvenlik Testi Tekniği Güvenlik Testi Aracı Gözden Geçirme   Ağ Sniffing Dsniff, Ettercap, Ethereal, Filesnarf, Kismet, Mailsnarf, Msgsnarf,  Ngrep, Ntop, TCPdump, and Webspy        Dosya Bütünlüğü Kontrolü Autopsy, Biew, Bsed, Coreography, Foremost, Hashdig, Rifiuti, and  Sleuthkit        Hedef Tanımlama ve Analiz   Uygulama Güvenliği Testi NetSed     Ağ Keşfi Cryptcat, Ettercap, Firewalk, Netcat, Nmap, and P0f     Ağ Port ve Servis Keşfi Amap, Netcat, Nmap, and P0f     Güvenlik Zaafiyeti Taraması Exodus, Firewalk, Nmap, and Snort     Kablosuz Ağ Taraması Airsnarf, Airsnort, GPSdrive, Kismet, and MACchanger     Hedef Güvenlik Açığı Doğrulaması   Şifre Kırma Allwords2, chntpw, Cisilia, Djohn, Hydra, John the Ripper, and  Rcrack        Uzaktan Erişim Testi Apache Server, IKE-Scan, Net-SNMP, SSHD, TFTPD, and VNC  Server        Sızma Testi Driftnet, Dsniff, Ethereal, Ettercap, Kismet, Nessus, Netcat, Ngrep,  Nmap, Ntop, and TCPdump      
Ek B – Görev Şablonu Kuralları

Bu şablon, kuruluşlara ROE’lerini geliştirmeleri için bir başlangıç noktası sağlar.42 Bireysel kuruluşlar, burada özetlenenleri tamamlayacak bilgileri eklemeyi gerekli bulabilir.

1. Giriş
1.1. Amaç

Belgenin amacının yanı sıra test edilen kuruluşu, testi yürüten grubu (veya harici bir kuruluş ise testi yürütmekle görevlendirilen kuruluş) ve güvenlik testinin amacını tanımlar.

1.2. Kapsam

Eylemler ve beklenen sonuçlar açısından test sınırlarını belirler.

1.3. Varsayımlar ve Sınırlamalar

Organizasyon ve test ekibi tarafından yapılan tüm varsayımları tanımlar. Bunlar, test ekibini, test sistemleri için uygun korumaların kurulumunu vb. İçeren testin herhangi bir yönüyle ilgili olabilir.

1.4. Riskler

Bilgi güvenliği testleri yapılırken, özellikle izinsiz giriş testleri durumunda, doğal riskler mevcuttur. Bu bölüm, bu risklerin yanı sıra azaltma tekniklerini ve bunları azaltmak için test ekibi tarafından uygulanacak eylemleri tanımlamalıdır.

1.5. Döküman Yapısı

ROE’nin yapısını ana hatlarıyla belirtir ve her bölümün içeriğini açıklar.

2. Lojistik
2.1. Çalışanlar

Güvenlik testi görevine atanan tüm personelin yanı sıra test edilen kuruluşun kilit personelini adıyla tanımlar. Test ekibi, uygun yönetim personeli ve olay müdahale ekibi için tüm temas noktalarını içeren bir tablo içermelidir. Mümkünse, güvenlik izinleri veya karşılaştırılabilir geçmiş kontrol detayları da sağlanmalıdır.

2.2. Test Programı

Test programını detaylandırır ve kritik testler ve kilometre taşları gibi bilgileri içerir. Bu bölüm aynı zamanda testin yapılacağı saatleri de ele almalıdır – örneğin, bir operasyonel sahada teknik testlerin yoğun iş dönemleri yerine akşam saatlerinde yapılması akıllıca olabilir.

42. Bu şablonun yapısının açıklayıcı olması amaçlanmıştır. Kuruluşlar, ROE’lerini seçtikleri şekilde düzenlemelidir.

2.3. Test Yeri

Testin yetkilendirildiği yeri veya konumları tanımlar. Kuruluşun sahasında test yapılacaksa, bina ve ekipman erişimi tartışılmalıdır. Fiziksel erişim, test uzmanlarının karşılaşabileceği rozetler, refakatçiler ve güvenlik personeli gibi gereksinimleri kapsamalıdır. Ekipman erişimi, sistemlere ve / veya ağa erişim seviyesi (kullanıcı veya yönetici) ve bilgisayar odalarına veya bu odaların içerdiği belirli raflara fiziksel erişim gibi alanları ele almalıdır. Test ekibine erişim verilmeyecek alanlar da burada tanımlanmalıdır.

Test, kiralık bir sunucu çiftliği veya test laboratuvarı gibi uzak bir yerden yapılacaksa, test sahası mimarisinin ayrıntıları bu bölüme dahil edilmelidir.

2.4. Test Ekipmanları

Bilgi güvenliği testlerini gerçekleştirmek için test ekibinin kullanacağı ekipmanı tanımlar. Bu bölüm aynı zamanda kuruluşun sistemleri ile testi yürüten sistemler arasında ayrım yapma yöntemini de tanımlamalıdır – örneğin, test ekibinin sistemleri MAC tarafından tanımlanırsa, test sistemlerinin takibi ağ keşif yazılımı kullanılarak yapılabilir. Donanıma ek olarak, ağda kullanım için yetkilendirilmiş araçlar tanımlanmalıdır. Ayrıca her aracın bir yazısının bir eke dahil edilmesi uygun olacaktır.

3. İletişim Stratejisi
3.1. Genel İletişim

İletişim sıklığını ve yöntemlerini tartışır. Örneğin, uygunsa toplantı programını, yerleri ve konferans görüşmesi bilgilerini tanımlayın.

3.2. Olay İşleme ve Müdahale

Bu bölüm, test devam ederken ağda bir olay meydana gelmesi durumunda kritik öneme sahiptir. Bilgi güvenliği testini durdurma kriterleri, bir test prosedürünün ağı olumsuz etkilemesi veya test devam ederken kuruluşa bir düşman saldırısı yapması durumunda test ekibinin hareket tarzına ilişkin ayrıntılar sağlanmalıdır. Kuruluşun olay müdahale çağrı ağacı / komuta zinciri, hızlı referans formatında sağlanmalıdır. Test ekibini eski haline getirmek ve teste devam etmek için bir süreç de sağlanmalıdır.

4. Hedef Sistem/Network

Bilgi güvenliği test süreci boyunca test edilecek sistemleri ve / veya ağları tanımlar. Bilgiler, uygunsa sistemler (sunucular, iş istasyonları, güvenlik duvarları, yönlendiriciler vb.), İşletim sistemleri ve test edilecek uygulamalar için yetkili ve yetkisiz IP adreslerini veya diğer ayırt edici tanımlayıcıları içermelidir. Test için yetkilendirilmemiş herhangi bir sistemi belirlemek de çok önemlidir – buna “dışlama listesi” adı verilir.

5. Test Koşturma

Bu bölüm, test türüne ve kapsamına özeldir, ancak izin verilen ve izin verilmeyen faaliyetlerin ayrıntılarını vermeli ve bilgi güvenliği testi metodolojisinin bir açıklamasını içermelidir. Gerekirse, ROE’yi tamamlayan bir değerlendirme planı geliştirilmelidir – bu bir ek veya ayrı bir belge olabilir.

5.1. Teknik Olmayan Test Bileşenleri

Gerçekleştirilecek teknik olmayan test faaliyetlerini tanımlar ve gözden geçirilmesi gereken ilke türlerini, prosedürleri ve diğer belgeleri belirlemeye yardımcı olacak bilgileri içerir. Mülakatlar veya saha anketleri yapılacaksa, mülakat listesinin ve soruların önceden onaylanması için kılavuzlar oluşturulmalıdır. Bilgi sistemlerinin fiziksel güvenliği test kapsamındaysa, prosedürler belirlenmeli ve sorgulanmaları durumunda test ekibinin kolluk kuvvetlerine veya yerinde güvenlik personeline göstermesi için uygun imzalar ve iletişim bilgileriyle birlikte bir form oluşturulmalıdır. .

5.2. Teknik Test Bileşenleri

Yürütülecek teknik test türünü içerir (örneğin, ağ taraması, keşif, sızma testi); Testleri kolaylaştırmak için dosyaların kurulmasına, oluşturulmasına, değiştirilmesine ve / veya yürütülmesine izin verilip verilmediğini tartışır; ve test tamamlandıktan sonra bu dosyalar için gerekli eylemleri açıklar. Kuruluşun sistemlerinin ve ağlarının teknik testleriyle ilgili her türlü ek bilgi de bu bölüme dahil edilmelidir. Tüm tarafların neyin yetkilendirildiğinin farkında olmasını ve testin bir sonucu olarak beklenmesini sağlamak için hedef ağda hangi faaliyetlerin gerçekleşeceği konusunda önemli ayrıntılar dahil edilmelidir.

5.3. Veri İşleme

Test verilerinin toplanması, depolanması, iletilmesi ve imha edilmesine ilişkin yönergeleri tanımlar ve veri işleme için ayrıntılı, kesin gereksinimleri belirler. Her tür bilgi güvenliği testinden elde edilen verilerin, bir düşmanın yararlanabileceği güvenlik açıklarını belirleyeceğini ve hassas olarak kabul edilmesi gerektiğini unutmayın.

6. Raporlama

Raporlama gereksinimlerini ve test süreci boyunca ve sonunda sağlanması beklenen rapor çıktılarının ayrıntılarını. Her raporda sağlanacak asgari bilgiler (örneğin, güvenlik açıkları ve önerilen azaltma teknikleri) ve raporların teslim edilme sıklığı (örneğin, günlük durum raporları) dahil edilmelidir. Rapor formatını ve içeriğini göstermek için ROE’ye ek olarak bir şablon sağlanabilir.

7. İmza Sayfası

Sorumlu tarafları belirlemek ve test süreci boyunca sorumluluklarını bilip anlamalarını sağlamak için tasarlanmıştır. En azından test ekibi lideri ve kuruluşun üst yönetimi (CSO, CISO, CIO, vb.) Testin kapsamını ve sınırlarını anladıklarını belirten ROE’yi imzalamalıdır.

Ek C – Uygulama Güvenliği Testi ve İncelemesi

Uygulama güvenliği testi ve incelemesi, bir kuruluşun kendi özel uygulama yazılımının (örneğin, Web uygulamalarının) istismar edilebilecek güvenlik açıkları içerip içermediğini ve yazılımın kullanıcıları, diğer uygulamaları (veritabanları gibi) ve bunların yürütme ortamı. Uygulama güvenliği, kaynak kod incelemesinden uygulanan uygulamanın sızma testine kadar çeşitli şekillerde değerlendirilebilir.43 Çoğu uygulama güvenliği testi, uygulamayı o uygulamanın türü için tipik olan bilinen saldırı modellerine tabi tutar. Bu modeller, doğrudan uygulamanın kendisini hedefleyebilir veya yürütme ortamını veya güvenlik altyapısını hedefleyerek dolaylı olarak saldırmaya çalışabilir. Saldırı modellerine örnek olarak bilgi sızıntısı (ör. Keşif, hassas bilgilerin açığa çıkması), kimlik doğrulama istismarları, oturum yönetimi suistimalleri, bozma (ör. Sahtekarlık, kimliğe bürünme, komut enjeksiyonları) ve hizmet reddi saldırıları verilebilir.

Uygulama güvenlik değerlendirmesi, yaşam döngüsü boyunca gerçekleştirilmesini sağlamak için uygulamanın yazılım geliştirme yaşam döngüsüne entegre edilmelidir. Örneğin, kod incelemeleri, uygulamanın tamamı teste hazır olana kadar beklemek yerine kod uygulanırken gerçekleştirilebilir. Testler ayrıca bir uygulama üretime geçtikten sonra periyodik olarak yapılmalıdır; önemli yamalar, güncellemeler veya diğer değişiklikler yapıldığında; veya uygulamanın çalıştığı tehdit ortamında önemli değişiklikler meydana geldiğinde.

Birçok uygulama güvenliği testi ve inceleme tekniği mevcuttur. Bunlar, uygulamanın kaynak kodunun doğrudan analizini içeren beyaz kutu tekniklerine ve kaynak kodu bilgisi olmadan uygulamanın ikili yürütülebilir dosyasına karşı gerçekleştirilen kara kutu tekniklerine ayrılabilir.44 Özel uygulamaların çoğu değerlendirmesi beyaz kutu teknikleriyle gerçekleştirilir, genellikle kaynak kodu mevcut olduğundan – ancak, bu teknikler bileşenler arasındaki arabirimlerdeki güvenlik kusurlarını algılayamaz ve uygulamanın derlenmesi, bağlanması veya kurulum sırasında yapılandırılması sırasında ortaya çıkan güvenlik sorunlarını belirleyemez. Beyaz kutu teknikleri, özel uygulamalardaki güvenlik kusurlarını bulmak için kara kutu tekniklerinden daha verimli ve uygun maliyetli olma eğilimindedir. Kara kutu teknikleri, öncelikle bireysel yüksek riskli derlenmiş bileşenlerin güvenliğini değerlendirmek için kullanılmalıdır; bileşenler arasındaki etkileşimler; ve tüm uygulama veya uygulama sistemi ile kullanıcıları, diğer sistemler ve dış ortam arasındaki etkileşimler. Kara kutu teknikleri, bir uygulamanın veya uygulama sisteminin tehditleri ne kadar etkili bir şekilde ele alabileceğini belirlemek için de kullanılmalıdır. Çoğu test hem beyaz kutu hem de kara kutu tekniklerini kullanır — bu kombinasyon gri kutu testi olarak bilinir.

Uygulama güvenliği değerlendirmelerini gerçekleştiren değerlendiriciler belirli bir temel beceri setine sahip olmalıdır. Minimum beceri seti için kılavuzlar, belirli programlama dilleri ve protokolleri hakkında bilgi içerir; uygulama geliştirme ve güvenli kodlama uygulamaları bilgisi; zayıf kodlama uygulamalarının getirdiği güvenlik açıklarının anlaşılması; otomatik yazılım kodu incelemesini ve diğer uygulama güvenliği test araçlarını kullanma yeteneği; ve yaygın uygulama güvenlik açıkları bilgisi.

43. Bir uygulamanın sızma testi gibi uygulama güvenliği testinin bazı öğeleri, hedef tanımlama ve analiz teknikleri değil, hedef güvenlik açığı doğrulama teknikleridir. Uygulama güvenliği testi yalnızca bu bölümde kısalık olması açısından ele alınmıştır.

44. Birçok web uygulaması gibi bazı uygulamalarda derlenmiş (ikili) yürütülebilir dosyalar yoktur, bu nedenle kara kutu teknikleri kodlarını analiz etmek için uygulanamayabilir.

Saldırganlar uygulama katmanı saldırılarına giderek daha fazla odaklandıkça uygulama güvenliğinin önemi artmaya devam ediyor. Uygulama güvenliği değerlendirmesi, düzinelerce yaygın kullanılan teknik içeren karmaşık bir konu olduğundan, kullanımları için teknikler veya öneriler hakkında belirli bilgiler sağlamak bu yayının kapsamı dışındadır.45 Ek E, ek bilgilerle birlikte referanslar sağlar.

45. Gelecekte, NIST, uygulama güvenlik testi ve incelemesine ilişkin ayrı bir yayın yayınlayabilir.

Ek D – Uzaktan Erişim Testi

Uzaktan erişim testi, güvenlik açıkları için uzaktan erişim yöntemlerini değerlendirir ve terminal sunucuları, VPN’ler, güvenli kabuk (SSH) tünelleri, uzak masaüstü uygulamaları ve çevirmeli modemler gibi teknolojileri kapsar. Bu test, çevre savunmasını atlatan ağa alternatif giriş yöntemlerini keşfetmeyi amaçlamaktadır. Uzaktan erişim testi genellikle sızma testinin bir parçası olarak yürütülür, ancak uzaktan erişim uygulamalarına daha iyi odaklanmak için ayrı olarak da gerçekleştirilebilir. Test teknikleri, test edilen uzaktan erişimin türüne ve testin özel hedeflerine göre değişir. Yaygın olarak kullanılan tekniklerin örnekleri şunları içerir:

Yetkisiz uzaktan erişim hizmetlerini keşfetmek.

Bağlantı noktası taraması, genellikle uzaktan erişim hizmetleriyle ilişkilendirilen açık bağlantı noktalarını bulmak için kullanılabilir. Sistemler, çalışan işlemler ve kurulu uygulamalar görüntülenerek uzaktan erişim hizmetleri için manuel olarak kontrol edilebilir.

İstenmeyen uzaktan erişim yollarını bulmak için kural kümelerini gözden geçirme.

VPN ağ geçitlerindekiler gibi uzaktan erişim kural kümeleri, istenmeyen erişime izin verebilecek delikler veya yanlış yapılandırmalar açısından gözden geçirilmelidir.

Uzaktan erişim kimlik doğrulama mekanizmalarının test edilmesi.

Uzaktan erişim yöntemleri normalde kimlik doğrulaması gerektirdiğinden, test uzmanları erişim sağlamaya çalışmadan önce kimlik doğrulaması yapmaları gerektiğini doğrulamalıdır. Test uzmanları varsayılan hesapları ve şifreleri (ör. Misafir hesapları, bakım hesapları) ve kaba kuvvet saldırılarını deneyebilir ve sosyal mühendislik, şifre sıfırlama veya kimlik doğrulama jetonu olmadan erişim elde etme girişiminde de kullanılabilir (ör. jeton kayboldu). Test uzmanları ayrıca, kullanıcıya özgü soruları yanıtlayarak parolaların sıfırlanmasına izin veren self servis kimlik doğrulama programları aracılığıyla erişim sağlamaya çalışabilir – bu aynı zamanda sosyal mühendisliği de içerebilir.

Uzaktan erişim iletişiminin izlenmesi.

Test uzmanları, bir ağ algılayıcısı ile uzaktan erişim iletişimlerini izleyebilir. İletişim korunmuyorsa, test uzmanları bunları uzaktan erişim kimlik doğrulama bilgileri ve uzaktan erişim kullanıcıları tarafından gönderilen ve alınan diğer veriler için kaynak olarak kullanabilir.

Çalışanlar ve uzaktan erişim sistemlerinde olası kesintileri sınırlandırmak için talebin düşük olduğu zamanlarda aktif veya müdahaleci uzaktan erişim testi yapılmalıdır.

Uzaktan erişim testinin bir başka yönü de, bir kuruluşun telefon sistemlerini yetkisiz veya güvenli olmayan erişime izin veren güvenlik açıkları açısından değerlendirmektir. NIST SP 800-24, PBX Güvenlik Açığı Analizi46, özel şube değişimi (PBX) güvenlik testine yönelik öğeler ve yaklaşımlar hakkında bilgi sağlar. Uzaktan erişim alanında, telefon sistemi testinin birincil hedefi modemlerdir ve bunların kullanımı, kablolu ve kablosuz ağ erişiminin yaygın olması nedeniyle azalmış olsa da, yetkisiz modemler aracılığıyla başarılı saldırılar yapılmaya devam etmektedir. Örneğin, uzaktan erişim için iş bilgisayarlarında hala modem kullanan kullanıcılar vardır ve bazı kuruluşlar, bakım modemlerinin etkin olduğu, bina operasyon denetleyicileri ve anahtarlar gibi daha eski teknolojileri kullanır. Modem aracılığıyla tek bir güvenlik ihlali, bir saldırganın çevre güvenliğini engelleyen bir ağa doğrudan, tespit edilmeden erişmesine izin verebilir.

Kullanılabilir birkaç yazılım paketi, ağ yöneticilerinin ve saldırganların, kullanılabilir modemleri aramak için büyük telefon numarası bloklarını çevirmelerine olanak tanır. Bu işleme savaş çevirme denir. Dört modeme sahip bir bilgisayar birkaç gün içinde 10.000 numarayı çevirebilir. Savaş çeviricileri, modemlerle numaralar hakkında raporlar sağlar ve bazı çeviriciler, bir modem keşfedildiğinde sınırlı otomatik saldırılara teşebbüs etme kapasitesine sahiptir. Kuruluşlar, yetkisiz kişilerin kimliğini tespit etmek için yılda en az bir kez savaş araması yapmalıdır.

46. PBX güvenliği hakkında ek bilgi için http://csrc.nist.gov/publications/PubsSPs.html adresine bakın.

Çalışanlar ve kuruluşun telefon sistemindeki olası kesintileri sınırlandırmak için normal çalışma saatlerinden sonra yapılan testlerle modemler. (Bununla birlikte, birçok yetkisiz modemin saatler sonra kapatılabileceği ve algılanmayabileceği dikkate alınmalıdır.) Faks ekipmanını algılamak için savaş çevirme de kullanılabilir. Test, çok sayıda çağrı alınmasından etkilenebilecek olanlar hariç, bir kuruluşa ait tüm numaraları içermelidir (örn., 24 saatlik operasyon merkezleri ve acil numaralar) .47

Uzaktan erişim testi yapmak için gereken beceriler arasında TCP / IP ve ağ bilgisi; uzaktan erişim teknolojileri ve protokolleri bilgisi; kimlik doğrulama ve erişim kontrol yöntemleri bilgisi; telekomünikasyon sistemleri ve modem / PBX işlemleri hakkında genel bilgi; ve savaş çeviricileri gibi tarama ve güvenlik testi araçlarını kullanma yeteneği.

47. Çoğu savaş çevirme yazılımı türü, test uzmanlarının belirli numaraları arama listesinden muaf tutmalarına izin verir.

Ek E – Kaynaklar

Bu ek, teknik güvenlik testi ve incelemesiyle birlikte kullanılacak çok çeşitli ek kaynakları listeler. Tablo E-1, bu kılavuzu tamamlayan NIST belgelerinin bir listesini içerir ve Tablo E-2, kuruluşların ek bilgi için başvurabilecekleri çevrimiçi kaynakların bir listesini sağlar.

Tablo E-1. İlişkili NIST Dökümanları48
NIST Dökümanı     URL  SP 800-30, Risk Management Guide for  http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf Information Technology Systems                        SP 800-40 Version 2.0, Creating a  http://csrc.nist.gov/publications/nistpubs/800-40-Ver2/SP800-40v2.pdf Patch and Vulnerability Management             Program                      SP 800-53 Revision 2, Recommended  http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2- Security Controls for Federal  final.pdf  Information Systems                    SP 800-53A, Guide for Assessing the  http://csrc.nist.gov/publications/nistpubs/800-53A/SP800-53A-final- Security Controls in Federal Information  sz.pdf   Systems                   SP 800-64 Revision 1, Security  http://csrc.nist.gov/publications/nistpubs/800-64/NIST-SP800-64.pdf Considerations in the Information             System Development Life Cycle                  SP 800-84, Guide to Test, Training, and  http://csrc.nist.gov/publications/nistpubs/800-84/SP800-84.pdf Exercise Programs for IT Plans and             Capabilities                  SP 800-92, Guide to Computer Security  http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf Log Management                  SP 800-94, Guide to Intrusion Detection  http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf and Prevention Systems (IDPS)                          
Table E-2. Online Resources
Kaynak    URL Methodologies            Information Design Assurance Red Team (IDART)  http://www.idart.sandia.gov/              NIST SP 800-53A, Guide for Assessing the Security  http://csrc.nist.gov/publications/PubsSPs.html Controls in Federal Information Systems                        National Security Agency (NSA) Information  http://www.nsa.gov/ia/industry/education/iam.cfm?Menu Assessment Methodology (IAM)  ID=10.2.4.2               Open Source Security Testing Methodology Manual  http://www.isecom.org/osstmm/ (OSSTMM)                     Open Web Application Security Project (OWASP)  http://www.owasp.org/index.php/Category:OWASP_Tes Testing Project  ting_Project               Tools            BackTrack (Linux live distribution)  http://www.remote-exploit.org/backtrack.html            

48. Kaynak adres; http://csrc.nist.gov/publications/PubsSPs.html.

Kaynak          URL Extra – Knoppix (Linux live distribution)  http://www.knopper.net/knoppix-mirrors/index-en.html                              F.I.R.E. (Linux live distribution)  http://fire.dmzs.com/                             Helix (Linux live distribution)  http://www.e-fense.com/helix/                            INSERT Rescue Security Toolkit (Linux live distribution)  http://www.inside-security.de/insert_en.html                               Knoppix Security Tools Distribution (STD) (Linux live  http://s-t-d.org/download.html distribution)                                                        nUbuntu (Linux live distribution)  http://www.nubuntu.org/downloads.php                         Operator (Linux live distribution)  http://www.ussysadmin.com/operator/                        PHLAK (Linux live distribution)  http://sourceforge.net/projects/phlakproject/                       Top 100 Network Security Tools  http://sectools.org/                               Güvenlik Zaafiyeti Kaynakları                             Common Configuration Enumeration (CCE)  http://cce.mitre.org/                      Common Vulnerabilities and Exposures (CVE)  http://cve.mitre.org/                     Common Weakness Enumeration (CWE)  http://cwe.mitre.org/                    Default Password List  http://www.phenoelit-us.org/dpl/dpl.html                   French Security Incident Response Team (FrSIRT)  http://www.frsirt.com/english/                  iDefense Lab’s Public Advisories List  http://labs.idefense.com/intelligence/vulnerabilities/                 milw0rm  http://www.milw0rm.com/                National Vulnerability Database (NVD)  http://nvd.nist.gov/               Neohapsis Archives  http://archives.neohapsis.com/              Open Source Vulnerability Database  http://www.osvdb.org/                               Open Web Application Security Project (OWASP)  http://www.owasp.org/index.php/Category:Vulnerability Vulnerabilities                                          Secunia Advisories  http://secunia.com/advisories/            SecurityFocus Vulnerabilities  http://www.securityfocus.com/vulnerabilities           SecurityTracker  http://www.securitytracker.com/          Secwatch’s Vulnerability Archive  http://secwatch.org/advisories/         The Hacker’s Choice (THC)  http://freeworld.thc.org/                               United States Computer Emergency Readiness Team  http://www.kb.cert.org/vuls (US-CERT) Vulnerability Notes Database                                     Wireless Vulnerabilities and Exploits (WVE)  http://www.wirelessve.org/                              
Ek F – Sözlük

Yayında kullanılan seçilmiş terimler aşağıda tanımlanmıştır.

Active Aktif Güvenlik Testi: Bir hedefe paket göndermek gibi bir hedefle doğrudan etkileşimi içeren güvenlik testi.

Afiş Yakalama: Bir bağlantı başlatıldığında uzak bir bağlantı noktası tarafından iletilen başlık bilgilerini (uygulama türü ve sürümü gibi) yakalama işlemidir.

Gizli Test: Test, gizli yöntemler kullanılarak ve kuruluşun BT personelinin bilgisi olmadan, ancak üst yönetimin tam bilgisi ve izni ile gerçekleştirilir.

Harici Güvenlik Testi: Kuruluşun güvenlik çevresinin dışından gerçekleştirilen güvenlik testi.

Yanlış Pozitif: Bir güvenlik açığının var olduğunu hatalı olarak belirten bir uyarı.

Dosya Bütünlüğü Denetimi: Dosyalarda yapılan değişiklikleri tespit etmek için dosyalar için mesaj özetlerini oluşturan, depolayan ve karşılaştıran yazılım.

Bilgi Güvenliği Testi: Kuruluşun güvenlik gereksinimlerine dayalı olarak, bilgi sistemleri ve ağları için güvenlik kontrollerinin etkili bir şekilde uygulanmasını doğrulama süreci.

Dahili Güvenlik Testi: Kuruluşun güvenlik çevresinin içinden gerçekleştirilen güvenlik testi.

Ağ Keşfi: Bir ağdaki etkin ve yanıt veren ana bilgisayarları keşfetme, zayıflıkları belirleme ve ağın nasıl çalıştığını öğrenme süreci.

Ağ Sniffing: Ağ iletişimini izleyen, protokollerin kodunu çözen ve ilgili bilgiler için başlıkları ve yükleri inceleyen pasif bir teknik. Hem bir gözden geçirme tekniği hem de bir hedef belirleme ve analiz tekniğidir.

Operating İşletim Sistemi (OS) Parmak İzi: Hedefte kullanımda olan işletim sistemini tanımlamak için paket başlıkları veya dinleme bağlantı noktaları gibi bir hedef tarafından gönderilen paketlerin özelliklerinin analiz edilmesi.

Açık Test: Kuruluşun BT personelinin bilgisi ve onayı ile gerçekleştirilen güvenlik testi.

Pasif Güvenlik Testi: Bir hedefe paket göndermek gibi hedeflerle herhangi bir doğrudan etkileşim içermeyen güvenlik testi.

Parola Kırma: Bir bilgisayar sisteminde depolanan veya bir ağ üzerinden iletilen gizli parolaları kurtarma işlemidir.

Sızma Testi: Değerlendiricilerin, bir uygulamanın, sistemin veya ağın güvenlik özelliklerini atlatmanın yollarını belirlemek amacıyla gerçek dünyadaki saldırıları taklit ettikleri güvenlik testi. Sızma testi genellikle gerçek saldırganlar tarafından kullanılan araç ve teknikleri kullanarak gerçek sistemlere ve verilere gerçek saldırılar düzenlemeyi içerir. Çoğu sızma testi, tek bir sistemde veya tek bir güvenlik açığıyla elde edilebilecek olandan daha fazla erişim elde etmek için kullanılabilecek birden fazla sistemde güvenlik açıklarının kombinasyonlarının aranmasını içerir.

Kimlik avı: Kullanıcılardan bilgi istemek veya onları bilgi isteyen sahte bir Web sitesine yönlendirmek için gerçek görünümlü – ancak sahte e-postalar kullanan dijital bir sosyal mühendislik biçimi.

Eylem Planı ve Kilometre Taşları (POA & M): Gerçekleştirilmesi gereken görevleri tanımlayan bir belgedir. Planın öğelerini gerçekleştirmek için gereken kaynakları, görevleri yerine getirmek için gereken kilometre taşlarını ve planlanan kilometre taşı tamamlama tarihlerini ayrıntılarıyla anlatır.

Bağlantı Noktası Tarayıcı: Bir sistemdeki hangi bağlantı noktalarının açık olduğunu uzaktan belirleyebilen bir program (örneğin, sistemlerin bu bağlantı noktaları üzerinden bağlantılara izin verip vermediği).

Gözden Geçirme Teknikleri: Güvenlik açıklarını keşfetmek için sistemleri, uygulamaları, ağları, politikaları ve prosedürleri değerlendirmek için kullanılan, genellikle manuel olarak yürütülen pasif bilgi güvenliği test teknikleri. Dokümantasyon, günlük, kural seti ve sistem yapılandırması incelemesini içerir; ağ koklama; ve dosya bütünlüğü denetimi.

Rogue Device: Bir ağ üzerindeki yetkisiz bir düğüm.

Katılım Kuralları (ROE): Bilgi güvenliği testinin yürütülmesine ilişkin ayrıntılı yönergeler ve kısıtlamalar. ROE, bir güvenlik testinin başlamasından önce oluşturulur ve test ekibine, ek izinlere ihtiyaç duymadan tanımlanmış faaliyetleri yürütme yetkisi verir.

Kural Kümesi: Bir paketi iletme veya reddetme, uyarı oluşturma veya bir sistem olayına izin verme gibi, yapılacak bir eylemi belirlemek için ağ trafiğinin veya sistem etkinliğinin karşılaştırıldığı bir kurallar veya imzalar koleksiyonu.

Sosyal Mühendislik: Birini bilgileri (ör. Bir şifre) açıklaması için kandırmaya çalışma süreci.

Hedef Tanımlama ve Analiz Teknikleri: Sistemleri, bağlantı noktalarını, hizmetleri ve olası güvenlik açıklarını belirlemek için kullanılan, çoğunlukla aktif olan ve genellikle otomatik araçlar kullanılarak gerçekleştirilen bilgi güvenliği test teknikleri. Hedef belirleme ve analiz teknikleri arasında ağ keşfi, ağ bağlantı noktası ve hizmet belirleme, güvenlik açığı taraması, kablosuz tarama ve uygulama güvenliği testi bulunur.

Hedef Güvenlik Açığı Doğrulama Teknikleri: Güvenlik açıklarının varlığını doğrulayan etkin bilgi güvenliği test teknikleri. Bunlar arasında şifre kırma, uzaktan erişim testi, sızma testi, sosyal mühendislik ve fiziksel güvenlik testi bulunur.

Sürüm Tarama: Şu anda kullanımda olan hizmet uygulamasını ve uygulama sürümünü belirleme işlemi.

Sanal Makine (VM): Tek bir ana bilgisayarın bir veya daha fazla konuk işletim sistemini çalıştırmasına izin veren yazılım.

Güvenlik Açığı: Bir tehdit kaynağı tarafından istismar edilebilecek veya tetiklenebilecek bir bilgi sistemi veya sistem güvenlik prosedürleri, iç kontroller veya uygulamadaki zayıflık.

Güvenlik Açığı Taraması: Ana bilgisayarlar / ana bilgisayar özniteliklerini ve ilişkili güvenlik açıklarını tanımlamak için kullanılan bir teknik.

Ek G – Kısaltmalar ve Kısaltmalar

Bu yayında kullanılan seçili kısaltmalar ve kısaltmalar aşağıda tanımlanmıştır.

ARP Adres Çözümleme Protokolü (Address Resolution Protocol)

ATA İleri Seviye Teknoloji Eki (Advanced Technology Attachment)

C&A Sertifikasyon ve Akreditasyon (Certification and Accreditation)

CCE Geçerli Configurasyon Numaralandırma(Common Configuration Enumeration)

CGE Cisco Global Exploiter

CIO Chief Information Officer

CIRT Computer Incident Response Team

CISO Chief Information Security Officer

CTO Chief Technology Officer

CVE Common Vulnerabilities and Exposures

CVSS Common Vulnerability Scoring System

CWE Common Weakness Enumeration

DNS Domain Name System

DoS Denial of Service

DSL Digital Subscriber Line

FIPS Ulusal Bilgi İşleme Standartı (Federal Information Processing Standards)

FISMA Ulusal Bilgi Güvenliği Yönetimi (Federal Information Security Management Act)

FrSIRT Güvenlik Olay Müdahale Ekibi (French Security Incident Response Team)

FTP Dosya Transfer Protokolü (File Transfer Protocol)

GOTS Government Off-the-Shelf

GPS Global Pozisyonlama Sistemi (Global Positioning System)

GUI Grafiksel Kullanıcı Arayüzü(Graphical User Interface)

HHS Sağlık ve İnsan Hizmetleri Bölümü (Department of Health and Human Services)

HTTP Hypertext Transfer Protocol

IAM Bilgi Değerlendirme Metodolojisi (Information Assessment Methodology)

ICMP Internet Control Message Protocol

IDART Information Design Assurance Red Team

IDPS Intrusion Detection and Prevention System

IDS Intrusion Detection System

IEEE Institute of Electrical and Electronics Engineers

IIS Internet Information Server

IP Internet Protocol

IPS Intrusion Prevention System

ISSO Information Systems Security Officer

IT Information Technology

ITL Information Technology Laboratory

LAN Local Area Network

MAC Media Access Control

NAT Network Address Translation

NIS Network Information System

NIST National Institute of Standards and Technology

NSA National Security Agency

NVD National Vulnerability Database

OMB Yönetim ve Bütçe Ofisi (Office of Management and Budget)

OS Operating System

OSSTMM Open Source Security Testing Methodology Manual

OWASP Open Web Application Security Project

P2P Peer-to-Peer

PBX Özel Şube Değişimi (Private Branch Exchange)

PDA Kişisel Dijital Asistan (Personal Digital Assistant)

PII Personel Tanımlanabilir Kimlik Bilgisi (Personally Identifiable Information)

PIN Personel Tanımlayıcı Numara (Personal Identification Number)

POA&M Eylem Planı ve Kilometre Taşları (Plan of Action and Milestones)

POP Post Office Protocol

RF Radio Frequency

ROE Rules of Engagement

SCADA Supervisory Control and Data Acquisition

SCAP Security Content Automation Protocol

SHA Secure Hash Algorithm

SIP Session Initiation Protocol

SME Subject Matter Expert

SMTP Simple Mail Transfer Protocol

SP Special Publication

SSH Secure Shell

SSID Service Set Identifier

SSL Secure Sockets Layer

SSN Social Security Number

STD Security Tool Distribution

TCP Transmission Control Protocol

TCP/IP Transmission Control Protocol/Internet Protocol

TCP/UDP Transmission Control Protocol/User Datagram Protocol

TFTP Trivial File Transfer Protocol

THC Hacker’ların Tercihi (The Hacker’s Choice)

UDP User Datagram Protocol

URL Uniform Resource Locator

US-CERT United States Computer Emergency Readiness Team

USB Universal Serial Bus

VM Virtual Machine

VoIP Voice Over Internet Protocol

VPN Virtual Private Network

WAN Wide Area Network

WIDPS Wireless Intrusion Detection and Prevention System

WLAN Wireless Local Area Network

WVE Wireless Vulnerabilities and Exploits

XML Extensible Markup Language


Karen Scarfone & Murugiah Souppaya & Amanda Cody & Angela Orebaugh

Detaylı Bilgi İçin

info@gaissecurity.com