Pentest (Sızma Testi) Nedir ?

Sıkça sorulan sorulara en önemlisiyle başlayalım; neden sızma testi yaptırılmalıyız?Sistemlerinizdeki güvenlik açıklarının siber güvenlik firmaları tarafından kontrol edilmesi, güçlü ve zayıf yanlarının raporlanarak bilginize sunulması sistem güvenliğiniz adına büyük önem arz etmektedir.Siz ve çalışanlarınızın güvenlik konusundaki tüm dikkat ve çabalarına rağmen, saldırganların sistemlerinizi istismar etmek adına kullanabileceği metod ve araçların bir sınırı yoktur. Saldırganların bilgi ve tecrübe seviyesine göre ihtimaller ve riskler boyut değiştirmektedir.Bu sebeple sistemlerinizin güvenliğini; siber saldırganların bakış açısıyla hareket edebilecek, saldırı yöntemlerini bilerek bu yöntemlere karşın önlemler alabilecek “Beyaz Şapkalı” hacker ekiplerine test ettirmeniz güvenliği sağlamak ve artırmak adına daha gerçekçi ve verimli bir adım olacaktır.Ek olarak PCI, HIPAA, KVKK gibi standartlar pentest (sızma testi) yaptırmayı zorunlu kılmaktadır.

Pentest çalışmaları sırasında hedef kuruma yönelik sistemler gerçek bir saldırgan bakış açısıyla incelendiği için karşılaşılabilecek çeşitli riskler bulunmaktadır. Nasıl gerçek bir saldırı senaryosunda saldırgan tüm sisteme etki edebilme ihtimaline sahipse, bilinçsiz yapılan sızma testi de sistemlerinizde kesintiye neden olabilir. Böyle aksaklıkların yaşanmaması için pentest yapacak ekip ile hizmet verilen kurumun sistem yöneticileri koordineli çalışmalıdır. Sürekli iletişim ve koordinasyon ile tüm riskler minimuma indirilmeli ve herhangi bir kesintiye neden olmadan sızma testi gerçekleştirilmelidir.

Sızma testinin adımları sözleşmenin imzalandığı ve planlamanın yapıldığı ilk aşama ile başlamaktadır. Bu aşamada hizmeti verecek danışman firma ile hizmeti alan firma arasında gizlilik sözleşmesi yapılır ve bu sözleşmede belirtilen kapsam dahilinde hareket edilir. Hazırlık aşaması olarak ele alabileceğimiz sözleşme aşaması tamamlandıktan sonra sırasıyla teknik sızma testi aşamaları uygulanır:Keşif Aşaması: Bu aşamada sızma testi uzmanı hedef kurum ile ilgili araştırma yapar ve toplayabileceği her türlü bilgiyi toplayarak saldırı yüzeyini genişletmeye çalışır. Bilgi toplama adımı, pentestin en önemli adımlarından bir tanesidir. Bu adımda ne kadar fazla veri toplanırsa sızma testi de o oranda başarılı sonuç verir. Tarama Aşaması: Keşif aşamasında daha çok pasif bilgi toplama teknikleri kullanılırken tarama aşamasında hedef ile etkileşime de geçilerek daha somut ve işlevsel veriler toplanır. Nmap,Nessus, Burp Suite gibi araçlar ile hedef kurumun sistemleri taranır. Tarama çalışması neticesinde açık portlar, servisler ve servislere ilişkin versiyon bilgileri tespit edilir.Zafiyet Analizi Aşaması: Zafiyet analizi aşamasında tespit edilen portlarda çalışan servislere ilişkin zafiyetler belirlenir. Örneğin güncel olmayan bir servis kullanılması durumunda bu servise ilişkin bilinen zafiyetler araştırılır.İlk Erişim Aşaması: Zafiyetler tespit edildikten sonra istismar edilerek hedef sisteme ilk erişim sağlanır ve sızma işlemi gerçekleştirilir. Kalıcılığın Sağlanması: Kalıcılık aşamasında ise sızılan sistemde sürekli aktif kalabilmek için çalışmalar yürütülür. Eğer gerekirse, sızma testi uzmanı ağ içerisinde yatayda hareket ederek bir sistemden diğerine geçer. (Lateral Movement) Temizleme Aşaması: Gerçek bir saldırganın yapacağı gibi, sızma testi uzmanı ilgili çalışmaları tamamladıktan sonra sistemde kurmuş olduğu araçları kaldırır ve sistemde iz bırakmamak adına test esnasında elde edilmiş olan verileri silerek geride iz bırakmaz. Raporlama Aşaması: Pentestin en önemli aşaması raporlama aşamasıdır. Tespit edilen güvenlik zafiyetlerinin ortadan kaldırılabilmesi için hazırlanan raporun son derece açık, detaylı ve anlaşılır olması gerekmektedir. Sızma testi ekibinin gerçekleştirdiği testler titizlikle rapora işlenilir ve ilgili sistem yöneticilerine sunulur.

Penetrasyon testleri temelde 3 farklı metodoloji altında toplanmaktadır. Bu metodolojiler saldırgan kişinin bakış açısına ve sahip olduğu verilere göre şekillenmektedir:Black Box Pentest Metodolojisi: Black Box Sızma Testi, hedef sistem hakkında herhangi bir bilgiye sahip olunmadan, gerçek bir tehdit aktörü gibi sisteme yaklaşılarak tüm sızma işleminin sıfırdan yapıldığı pentest yöntemidir. Bu metodolojide saldırgan sistem hakkında herhangi bir bilgiye sahip değildir ve black box penetrasyon testi olası bir saldırıda yaşanabilecek en iyi sonucu gözler önüne sermektedir. Gray Box Pentest Metodolojisi: Gray Box Sızma Testi, hedef sistem hakkında kısıtlı bilgiye sahip olunan, sızma testi uzmanına belirli doğrultuda yetkiler verildiği kısmi black box sayılabilecek pentest türüdür. White Box Pentest Metodolojisi: White Box Sızma Testi, kurum sistemleri hakkında yeterli bilginin sistem yöneticileri tarafından pentester’a sunulduğu metodoloji türüdür. White box pentest yöntemi, daha çok hızlı sonuç vermesinden dolayı tercih edilmektedir.Pentest yöntemleri yukarıda da bahsedildiği üzere 3 farklı kola ayrılmaktadır. Gerçek hayat senaryolarında karşılaşılabilecek siber olayların muhtemel etkilerinin en doğru şekilde tespit edilebilmesi adına blackbox metodoljisi tercih edilmelidir.