Sızma testi ya da penetrasyon testi olarak bilinen bu test, gerçek bir saldırıya maruz kalmadan önce simülasyon yoluyla kurumun kendi kendine bir saldırı düzenlemesi ve bulduğu açıkları kapatmasıdır. Bu sızma testleri pentest ekibi tarafından ve yasal olarak gerçekleştirilen güvenlik testleridir. Pentest ekibinde bu testleri gerçekleştiren kişilere pentester adı verilir. Kontrollü bir saldırı olarak da nitelendirilir. Siz ne kadar güvenliğinize dikkat etseniz bile gözünüzden kaçıracağınız zafiyetlerin bulunma ihtimalleri vardır.
Güvenlik açısından olduğu gibi birçok kuruluş ve kurum için sızma testleri ISO 27001, PCI, DSS, HIPAA gibi bir takım standartlarla zorunlu hale getirilmiştir. Yani anladığımız şu, kurumlar bu testleri kendi güvenlik seviyelerini kendi insiyatifleriyle iyileştirmek için yaptırabileceği gibi bir regülasyona uyum sağlamak adına da yaptırabilirler.
Temel olarak sızma testleri, var olan açıkları saldırganlardan önce tespit etme çalışmasıdır.
Pentest, 3 çeşide ayrılır.
Penetrasyon testleri, gerçekleştirme yöntemlerine göre 3 farklı gruba ayrılmaktadır. Bunlar;
White Box: Bu sızma testi türünde, güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Pentest ekibine bilgi verme konusunda yardımcı olunur. Sistemin zarar görme riski çok azdır ve en faydalı test türüdür.
Black Box: Pentest ekibine, sistem ile ilgili önceden herhangi bir bilgi verilmez. Firmanın ismi ve bu firmaya ait olan domainler üzerinden firmanın sahip olduğu varlıklar belirlenerek sızma testi çalışmaları gerçekleştirilir. En uzun süren test türüdür. Çünkü sistemle ilgili pentest ekibinin bir bilgisi olmadığı için sisteme zarar verme gibi bir durumu da olabilir.
Gray Box: Bu sızma testi türünde ise sistemle ilgili bilgiler bulunmaktadır. Test öncesinden pentest ekibine IP adres listesi, sunucu sistem vs. bilgileri verilir. Black Box’a göre daha kısa sürede sonuçlanır.
Pentestte öncelikle zafiyet analizi işlemleri uygulanıp zafiyetler belirlenir ve bu zafiyetlere göre sızma testleri gerçekleştirilir. Zafiyet Analizi ile Penetrasyon Testi karıştırılmamalıdır. Zafiyet analizi, otomatik araçlar ile güvenlik zafiyetine sebep oluşturabilecek açıkların bulunması için yapılan bir testtir ve penetrasyon testine göre daha sınırlıdır. Sızma testi yalnızca bir sistemin hacklenmesi veya hacklenmeye çalışılması olarak düşünülmemelidir. Doğru şekilde analiz edilip ve anlaşılır şekilde raporlanması oldukça önemlidir. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir. Zafiyet analizi gerçekleştirilirken kullanılan bazı pentest araçları şunlardır.
gibi araçlar sızma testlerinde sıklıkla kullanılmaktadır.
Sızma testi yapılırken, gerçek bir hacker gibi düşünülmelidir. Nasıl ki bir siber saldırıda cyber kill chain zincir adımları kullanılıyorsa bu tür sızma testlerinde de belirli adımlar bulunmaktadır.
Yazının başında da belirttiğim gibi, öncelikle amaç gerçek bir saldırıya maruz kalmadan önce zafiyetlerinizi bilmeniz ve kapatmanız gerekmektedir. Kısa bir söylemle, kurumunuza üçüncü bir göz ya da saldırgan gözüyle mutlaka bakmanız gerekmektedir. Kurumun ya da kurumların güvenlik durumlarını iyileştirmesi, gardını erkenden alabilmesi için bu tür sızma testlerini gerçekleştirmesi gerekmektedir. Regülasyonlar gereği de (PCI, ISO27001 vs.) yaptırmak gerekmektedir.
Hackerların önüne geçebilmek adına, sistemleri onlar gibi düşünebilen ve hareket edebilen kişiler tarafından teste tabi tutmak önemli bir zorunluluk haline gelmektedir. Ayrıca kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak, gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan için sızma testleri yaptırılmalıdır.
Sızma testi gerçekleştikten sonra süreç tamamlanmış olmamaktadır. Sızma testi sonrası da yapılacak işlemler vardır. Test sonrası adım genelde kurumun yapacağı adımlardır. Olumsuzluk içeren sonuçların, olumlu hale getirilmesi kritik bir noktadır. Sadece testi yaptırmakla süreç tamamlanmamaktadır.