Sızma (Penetrasyon) Testi Nedir?

Yayınlayan
Editör
Yayınlanma tarihi
26/2/2022
Okuma süresi
10
Dakika
go back icon
Geri Dön

Sızma (Penetrasyon) Testi Nedir?

Sızma Testini şu şekilde açıklayabiliriz.

Merkezi olmayan bir tasarıma sahip olan internetin 1960’larda ortaya çıkması ve akabinde askeri iletişimde kullanılmasının ardından güvenliğin sağlanması söz konusu olmuştur.  ABD’deki İleri Araştırma Projeleri Ajansı’nın güvenlik önlemleri üzerine politika ve teknik konuların ele alınması için iş birliği yapılmış ve konuyla ilgili bir rapor yayınlanmıştır.

Bu rapor üzerine, kurum ve kuruluşlar, bilgisayar sistemlerini etik olmayan bilgisayar korsanlıklarından veya sızmalardan korumak için bilgisayar ağları ve sistemlerinde güvenlik açıklarını bulmaya çalışan ekipler oluşturulmasının gerekliliği aktarılmıştır. Bilgisayar ağlarının saldırıya direnme yeteneğini test etmek için 1960’ların sonlarında özel askeri ekipler “Tiger Team” olarak adlandırılan takımlar kurulmuştur.  ARPA tarafından gerçekleştirilen sızma testleri sonucunda iki ana sonuç ortaya çıkmıştır. Bunlar; sistemlerin sızılabilir olduğu ve sistemlerde, ağlarda, donanımlarda ve yazılımlardaki güvenlik açıklarını belirlemek için sızma testi metodolojilerinin kullanılması gerekliliğini ortaya koymuştur.(.resources.infosecinstitute.com/the-history-of-penetration-testing, Erişim Tarihi: 17 Aralık 2018)

“Penetrasyon testi, bir sisteme, ağa, ekipmana ya da başka bir tesise yapılan saldırıların, sistemin ya da “hedefin” gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan saldırı simülasyonudur.” (Henry, 2012)

Sızma testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesi ile testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir.
Saldırganlar sızma girişiminde hedef odaklı çalışırken Sızma Testi Uzmanları bütün kapsamları denetlemekle yükümlü olup yaptıkları testleri ilgili hizmet alıcısından yasal düzlemde yetki alarak işlemlerini gerçekleştirmektedir.

Sızma testinin literatürdeki diğer isimlendirmeleri Penetrasyon Testi, Offensive Security, Ethical Hacking olarak sıralanabilir.

Sızma Testinde Kapsam Yaklaşımları

Sızma testi uygulayıcıları test işlemini gerçekleştirirken 3 farklı yaklaşım gözetirler. Bu yaklaşımlar saldırı senaryolarında sızma testi uygulayıcılarının saldırı kapsamlarını gösterir.

Birinci yaklaşım: Beyaz Kutu Testi olarak adlandırılır. Bu yaklaşım türünde sistem yöneticisinin sahip olduğu bilgilere sahip olarak güvenlik değerlendirmesi yapılır. Bilgi toplama aşaması geçilir ve zafiyet tarama işlemleri ile devam edilir.

İkinci yaklaşım: Siyah Kutu Testi olarak adlandırılır. Bu yaklaşım türünde sistem hakkında herhangi bir olmaksızın dışarıdan yapılan güvenlik değerlendirmesidir. Gerçek saldırgan bakış açısı ile yapılır.

Üçüncü yaklaşım: Gri Kutu Testi olarak adlandırılır. Bu yaklaşım türünde ağ içerisinde bulunan veya sistemdeki herhangi bir hizmeti kullanan çalışanların veya yüklenicilerin erişim yetkilerinin değerlendirildiği güvenlik testi yaklaşımıdır.

Sızma Testi Saldırı Türleri

Sızma Testi sürecinde iki yaklaşım ile saldırı senaryolarına yön verilir. Bunlar;

Birinci yaklaşım:
Aktif Saldırı: Sızma testinde sistemin genel güvenlik düzeyini gizlilik, bütünlük ve erişilebilirlik çerçevesinde değerlendirmek ve bu sistemin güvenliğini tehlikeye atabilecek tüm olası sorunları tespit etmeye yönelik saldırı türüdür. Sistem veya ağ üzerinde değişiklik yapmak için yapılan saldırılardır.
Pasif Saldırı: Sızma testinde bilgi toplama ve sınıflandırma amacıyla gizli ve yıkıcı olmayan tekniklerin kullanıldığı saldırılardır.

İkinci Yaklaşım:
İç Saldırılar: Organizasyonun güvenlik şemsiyesinin içinde yer alan kullanıcılar, sistemlerin oluşturduğu alana yapılan saldırılar.
Dış Saldırılar: İnternet veya uzaktan erişim gibi kurum dışı saldırılardır. (Scarfone, Souppaya, Cody ve Orebaugh ,2008)

Sızma Testi Aşamaları

Planlama ve Hazırlık , Uygulama , Raporlama olmak üzere üçe ayrılırlar.

Planlama ve Hazırlık Aşaması

Bu aşamada, kullanılacak test yöntemi, araçlar, kapsamı, testin ne kadar sürede tamamlanacağı, nelerin test edileceği gibi bilgiler açıklanır. Plan oluşturulur ve hedef belirlenir.

Uygulama Aşaması

Bu aşama kendi içerisinde yediye ayrılır.

  • Bilgi Toplama: Hedef sistem hakkında pasif & aktif yöntemler ile bilgi toplama faaliyeti gerçekleştirilir.
  • Tarama: Hedef sistem hakkındaki bilgileri ilerletmek için teknik araçlar kullanılarak genel bir tarama yapılır. Sonrasında, sistemlerin hangi portunda hangi servisin çalıştığı, bu servisin hangi versiyonu kullandığı vb. bilgiler elde edilir. Elde edilen bilgiler sayesinde güvenlik açıkları tespit edilir.
  • Erişim Kazanmak: Bilgi toplama ve tarama aşamalarında toplanan veriler kullanılarak, hedeflenen sistemden yararlanmak için bulunan güvenlik açığının sömürülmesi için gerekli araştırma ve planlama yapılır. Exploit, payload vb. hazırlanır.
  • Erişimi Sürdürmek: Hedeften mümkün olduğunca çok veri toplamak için hedef sistemde sürekli kalmayı sağlayan adımlar atılır.
  • Saldırı /Penetraston /Yetki Yükseltme: Hazırlanan payload veya exploit’ler hedef sistemde çalıştırılır. Çalıştırılan exploit’in sistemdeki işlevi ve diğer sistemlere etkisi incelenir. Gereken yetki yükseltme veya yanal hareketler gerçekleştirilir.
  • Zafiyet Taraması: Sistemdeki zafiyetler ortaya çıkarılır. Bulunan her bir zafiyet için tekrar bu adımlar gerçekleştirilir.
  • İzleri Temizlemek: Çalıştırılan exploit ve payload’ları sistemde herhangi bir değişiklik yaptıysa eskiye döndürülür ve oluşturulan kullanıcılar, dosyalar silinir.

Raporlama Aşaması

Önceki aşamada uygulanan işlemlerin özeti çıkartılır. Oluşabilecek zararlar ve risklerin ortadan kalkması için alınabilecek önlemler, hangi sistemlerin etkilenebileceği ve bunun etkileri raporlanır.

Raporlama aşamasında dikkat edilmesi gereken şeyler;

  • Sızma testinde kullanılan standartlar,
  • Sızma testinde kullanılan tüm araçlar ve işlemlerin detaylı olarak raporda bahsedilmesi,
  • Sızma testi sırasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi. Bu açıklıkların detaylı olarak raporda bahsedilmesi,
  • Raporların okunabilir ve anlaşılır olması. Teknik kelimelerin detaylı olarak bölümde bahsedilmesi,
  • Sızma testi raporunda; testi gerçekleştiren sızma testi uzmanı, rapor oluşturan kişi ve kurum hakkında kısaca bilgilere yer vermek,
  • Raporun şifreli ve gizli bir şekilde iletilmesi,
  • Yöneticilere ve teknik çalışanlara özel açıklamalar veya farklı raporlar sunulması gerekmektedir.
Sızma Testi Metodolojilerinde Uluslararası Standartlar

Sızma Testi metodolojileri çeşitli topluluklar, ilgili kurum ve kuruluşlar tarafından güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretilmesi için oluşturulmuş ve genel kabul görülmüş standartlardır.

Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;

  • OWASP (Open Web Application Security Project)
  • OSSTMM (The Open Source Security Testing Methodology Manual)
  • ISSAF (Information Systems Security Assessment Framework) NIST SP800-115
  • PTES (Penetration Testing Execution Standart)
  • Fedramp (The Federal Risk and Authorization Management Program)
OWASP (Open Web Application Security Project)

Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir referans ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur. (.www.owasp.org/index.php/about_the_open_web_application_security_project, Erişim Tarihi: 17 Aralık 2018)

Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur.
2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.

11 ana başlık altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır. Bunlar;

1. Bilgi toplama
2. Yapılandırma ve Dağıtım Yönetimi Testi 3. Kimlik Yönetimi Testi
4. Kimlik Doğrulama Testi
5. Yetkilendirme Testi
6. Oturum Yönetimi Testi
7. Giriş Doğrulama Testi
8. Hata Giderme Testi
9. Zayıf Kriptografi Testi
10. İş Mantığı Testi
11. İstemci Tarafı Testi

(.www.owasp.org/index.php/Testing_Checklist, Erişim Tarihi: 17 Aralık 2018)

OSSTMM (The Open Source Security Testing Methodology Manual)

2001 yılının Ocak ayında ISECOM(Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır.

Anahtar bölümleri şu şekilde sıralanır.

  1. Operasyonel Güvenlik Metrikleri
  2. Güven Analizi
  3. İş akışı
  4. İnsan Güvenliği Testi
  5. Fiziksel Güvenlik Testi
  6. Kablosuz Güvenlik Testi
  7. Telekomünikasyon Güvenlik Testi
  8. Veri Ağları Güvenlik Testi
  9. Uyum Mevzuatı
  10. STAR (Güvenlik Testi Denetim Raporu) ile Raporlama

(Isecom, www.isecom.org/mirror/OSSTMM.3.pdf, Erişim Tarihi: 17 Aralık 2018)

ISSAF(Information Systems Security Assessment Framework)

Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır . Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir. Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.

NIST SP800-115

Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunması ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilir.

Beş ana başlıktan oluşur. Bunlar;

  1. Hedef Tanımlama ve Analiz Teknikleri
  2. Hedef Güvenlik Açığı Doğrulama Teknikleri
  3. Güvenlik Değerlendirme Planlaması
  4. Güvenlik Değerlendirme Faaliyetleri
  5. Test Sonrası Faaliyetler

(. nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf, Erişim Tarihi: 17 Aralık 2018)

Penetration Testing Execution Standart (PTES)

Açık kaynak bir proje olan Sızma Testi Yürütme Standardı 2009 yılında sızma testlerindeki konsept oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır.

Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:

  1. Ön Sözleşme
  2. İstihbarat toplama
  3. Tehdit Modellemesi
  4. Güvenlik Açığı Analizi
  5. İstismar Süreci
  6. İleri Sömürü Aşaması
  7. Raporlama

(.www.pentest-standard.org/index.php/Main_Page, Erişim Tarihi: 17 Aralık 2018)

FedRamp Penetration Test Guidance

Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), Federal Bilgi Güvenliği Yönetimi Yasası’nın (FISMA) bulut bilişim hizmetlerine nasıl uygulandığını standartlaştırmak için oluşturulan ABD hükümet programıdır. İlk versiyonu 2015’te yayınlanan “FedRAMP PENETRATION TEST GUIDANCE” 2017 yılında ikinci versiyonunu yayınlamıştır. Fedramp ile bulut tabanlı hizmetlerin güvenlik değerlendirilmesi ve sürekli izlenmesi için standartlaştırılmış̧ bir yaklaşım sunar. Bu rehber kuruluşlara, Sızma Testi’nin planlanması ve yürütülmesi ile ilgili bulguların analiz edilmesi ve raporlanması konusunda rehberlik sağlamaktır.

Ana bölümleri şunlardır:

1. Bilgi Toplama ve Keşif Aşaması

2. Web Uygulama ve Api Test Bilgisi Toplama ve Keşif Aşaması

3. Mobil Uygulama Bilgi Toplama ve Keşif Aşaması

4.  Ağ Bilgi Toplama ve Keşif Aşaması

5.  Sosyal Mühendislik Bilgi Toplama ve Keşif Aşaması

6.  İç Ağ Bilgi Toplama ve Keşif Aşaması

7.  İstismar Aşaması

8.  İleri Sömürü Aşaması

9.  Raporlama

(www.fedramp.gov/assets/resources/documents/CSP_Penetration_Test_Guidance.pdf, Erişim Tarihi: 17 Aralık 2018)

Editör

Detaylı Bilgi İçin

info@gaissecurity.com