Sızma (Penetrasyon) Testi, bir sisteme, ağa, ekipmana ya da başka bir tesise yapılan saldırıların, sistemin ya da “hedefin” gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan sistem ve ağ güvenliğinin belirlenmesinde bir değerlendirme yöntemidir.
Sızma Testi metodolojileri çeşitli topluluklar, ilgili kurum ve kuruluşlar tarafından güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretilmesi için oluşturulmuş ve genel kabul görülmüş standartlardır.
Ülkemizde Türk Standartları Enstitüsü TS-13638 uyarınca Sızma Testi Standartları belirlenmiş olup, globalde NIST-SP800-115, PTES, OSSTMM ve OWASP gibi standartlar üzerinden sızma testi ve güvenlik denetimleri metodolojik yaklaşımları temellendirilmiştir. Gais Cyber Security olarak yerel ve global standartlar ölçeğinde hizmetlerimizi sizlere ulaştırıyoruz.
Sızma testleri, BDDK, EPDK, PCI-DSS, ISO 27001, Güven Damgası, KVKK gibi çeşitli güvenlik denetimlerinin bir parçası olmakla beraber hem periyodik olarak hem de sistem değişikliklerinden sonra zorunlu olarak yapılması gereken testlerdir.
Sızma testi bir bilişim sisteminin check-up’ı olarak düşünülebilir, yılda bir kez yapılması önerilen sızma testi ile firmanın açıkları tespit edilir.
Sızma Testi Aşamaları
1. Bilgi Toplama
Bilgi toplama kapsamlı bir güvenlik değerlendirmesi yapabilmek için hedef hakkında olası tüm bilgileri toplamak için kullanılan evredir. İnternet üzerinden teknik (whois/dns sorguları) ve teknik olmayan (arama motorları, haber grupları, e-posta listeleri sosyal ağlar vb.) yöntemler kullanılarak, hedef şirket veya sistem hakkında bilgi sağlanabilir. Bu safhanın amacı mümkün olan her saldırı yolunu keşfederek hedef ve uygulamalarının kapsamlı bir görünümünü elde etmektir. Bu sayede hedef üzerinde bilgi güvenliğiyle ilgili her vektörün test edilebilmesine olanak sağlanır. Bu adım metodolojinin genellikle göz ardı edilen ilk ve en önemli adımlarından biridir. Diğer tüm aşamalarda olabildiğince kapsamlı ilerlenmesini sağlar.
2. Network Haritalama
Birinci bölümün ardından hedefle ilgili tüm olası bilgiler edinildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır. Network haritalama aktif bir bilgi toplama aşamasıdır. Bu evrede amaç; hedef sistemin muhtemel bir network topolojisinin üretmek ve network yapısının detaylandırılmasıdır. Bu aşamada; hedef sistem üzerinde port ve servis taraması, açık sistemlerin belirlenmesi, açık sistemler üzerindeki açık portların ve servislerin belirlenmesi, sistemler üzerinde hangi işletim sistemlerinin ve servislerin çalıştığının belirlenmesi, işletim sistemlerine, servislere ve uygulamalara ait versiyon bilgilerinin tespiti, sistemlerde kullanılan donanım/yazılımların ve versiyonlarının tespit edilmesi, Router, Firewall, IPS gibi ağ cihazlarının tespiti gerçekleştirilerek detaylı bir network haritası çıkarılır. Network haritalama bilgi toplama aşamasından elde edilen bilgilerin doğrulanmasına yardımcı olarak, hedef sistemler ile ilgili bazı bilgi elde edilmesini sağlayacaktır.
3. Sınıflandırma
Bu aşamada bir önceki adımda canlı olduğu tespit edilen sistemler üzerinde TCP/UDP port tarama işlemi gerçekleştirilir. Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler “banner grabbing” olarak adlandırılan yöntem ile öğrenilir ve manuel testler ile bu bilgilerin doğruluğundan emin olunduktan sonra bu bilgiler ışığında zafiyet veritabanları taranır ve bilinen zafiyetler sonraki aşamalarda kullanılmak üzere not alınır.
Tespit edilen canlı sistemler içinde router, switch gibi aktif ağ cihazlarının yer alması durumunda bu cihazlar üzerinde çalışan işletim sistemleri, bu işletim sistemlerinin versiyonları, bu cihazlar üzerindeki servisler, yönlendirme protokolleri, yönetimsel amaçlı servisler ve versiyonları tespit edilmeye çalışılır ve bu bilgiler ışığında zafiyet veritabanında inceleme yapılarak sonraki aşamalarda kullanılmak üzere not alınır. Ayrıca bu cihazlar üzerinde koşan gereksiz servislerin, ön-tanımlı kullanıcı adı veya şifre bilgilerinin ya da yönetim için kullanılan güvensiz protokollerin tespiti halinde bu zafiyetler yapılandırma problemleri başlığı altında rapora yansıtılır.
4. Zafiyet Tespiti
Hedef sisteme ait bilgi toplama ve network haritasının çıkarılmasının ardından, elde edilen bilgiler değerlendirilerek zafiyet analizi gerçekleştirilir. Bu aşamanın amacı, daha önce elde edilen bilgileri kullanarak zafiyetlerin varlığını teknik olarak değerlendirmektir. Zafiyet tanımlaması; network, sunucular, uygulamalar ve diğer bileşenlerdeki zafiyetleri bulmak için elde edilen verileri, çıkarılan network topolojisini değerlendirerek gerçekleştirilen güvenlik denetimini bir adım ileriye taşır. Bu aşamada hedef sisteme zarar vermeyecek şekilde zafiyetleri tanımlamak ve tanımlanan zafiyetleri bilinen istismarlarla sömürmek için çeşitli otomatize zafiyet tarama araçlarıyla taramalar gerçekleştirilebilir. Zafiyet tarama araçlarının ayarları ön tanımlı olarak kullanılmamakta ve hedef sisteme göre konfigüre edilmektedir. Tarama sonuçları Sızma Testi Uzmanı tarafından değerlendirilerek false positive ve false negatif sonuçlar elenmektedir. Zafiyet tanımlaması ve analizi sonucunda hedef sisteme sızma yolları ve senaryoları belirlenmektedir.
5. Hak Elde Etme
Zafiyet analizi sonrası tanımlanan zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir. Hedef sistem üzerindeki güvenlik önlemlerini aşılarak erişim elde edilmeye ve erişim mümkün olduğunca bağlantı (reverse, bind) sağlanmaya çalışılır. Tanımlanan zafiyetlerin istismarı için uygun PoC kodları/araçları kullanılarak veya yazılarak hedef sistem üzerinden testler gerçekleştirilir. İstismar için kullanılacak olan exploit halka açık kaynaklardan elde edilmişse hedef sistem üzerinde kullanılmadan önce klonlanmış ortamında test edilmekte ve hedef sisteme zarar verilecek işlemlerden kaçınılmaktadır.
Sızma Testi Türleri
01. Kablosuz Ağ Sızma Testi
02. Mobil Uygulama Sızma Testi
03. İç Ağ Sızma Testi
04. Dış Ağ Sızma Testi
05. Ödeme Altyapısı Sızma Testi
06. Web Uygulama Sızma Testi
07. SCADA Sızma Testi
08. Otonom Sistem Sızma Testi
09. ATM / KIOSK Sızma Testi
10. Gömülü Sistem Sızma Testi