Sızma testi olarak dilimize çevrilen pentest aynı zamanda penetrasyon testi olarak da bilinmektedir. Müşterilerinin verilerine önem veren her türlü kurum ve kuruluşun aldığı pentest hizmeti alanında uzman profesyoneller tarafından verilmektedir.
Pentest (Sızma Testi) Nedir?
Sızma testi, sıkılaştırma çalışmalarının yapılacağı sisteme bir saldırgan bakış açısıyla yaklaşılarak tüm ağ ve sistemlerin enine boyuna incelenmesini konu alan bir güvenlik hizmetidir. Penetrasyon testi çalışmaları sırasında hedef kurum sistemlerine saldırganlar tarafından uygulanan tüm atak vektörleri uygulanarak testler yapılır.
Penetrasyon testi, yazılım uygulamaları ile otomatikleştirilebilir veya manuel olarak gerçekleştirilebilir. Her iki durumda da, süreç testten önce hedefle ilgili bilgi toplamayı, olası giriş noktalarını belirlemeyi, zafiyetleri bulmaya çalışmayı ve bulguları raporlayarak geri bildirmeyi içermektedir.
Pentestin temel amacı güvenlik açıklarını tespit etmektir. Ayrıca sızma testi; bir kuruluşun güvenlik politikasını, uyumluluk gerekliliklerine bağlılığını, çalışanlarının güvenlik bilincini ve kuruluşun güvenlik olaylarını belirleme ve bunlara müdahale etme yeteneğini test etmek için de kullanılabilir. Genellikle, penetrasyon testi ile tespit edilen açıkları hakkındaki bilgiler, stratejik kararlar almalarını ve iyileştirme çabalarını önceliklendirebilmelerini sağlamak amacıyla bir araya getirilip gruplandırılarak ilgili kuruluşun IT ve ağ sistemi yöneticilerine sunulur.
Pentest Türleri Nelerdir? – Pentest Metodolojileri
Pentest çeşitleri sızma testinin yapılacağı hedef kapsamına göre dallara ayrılmaktadır. Örneğin test bir web uygulamasını kapsıyorsa verilen hizmet web uygulama sızma testi olarak adlandırılmaktadır.
Günümüzde genellikle uygulanan sızma testi çeşitleri şunlardır:
- Web Uygulama Sızma Testi: Web uygulamalarındaki güvenlik zafiyetlerini tespit etmeyi amaçlayan penetrasyon testi çeşididir. Sızma testi uzmanları tarafından test kapsamına tabi tutulan tüm web uygulamaları en ince ayrıntısına kadar incelenmekte ve OWASP standartlarında yer alan tüm güvenlik zafiyetleri tespit edilmektedir.
- Yerel Ağ Sızma Testi: Kurumun iç ağına erişen bir saldırganın ulaşabileceği zafiyetleri tespit etmek ve bu zafiyetleri kapatmak için yapılan sızma testi çeşididir.
- Dış Ağ Sızma Testi: Saldırganların ilk erişim sağlayabileceği nokta olan dış ağ noktasındaki güvenlik açıklarını tespit etmek amacıyla uygulanan sızma testi çeşididir.
- Mobil Uygulama Sızma Testi: Android ve IOS gibi mobil işletim sistemleri üzerinden hizmet veren mobil uygulamalardaki güvenlik açıklarını tespit etmek amacıyla uygulanmaktadır.
Pentest’in Riskleri Nelerdir?
Pentest çalışmaları sırasında hedef kuruma yönelik sistemler gerçek bir saldırgan bakış açısıyla incelendiği için karşılaşılabilecek çeşitli riskler bulunmaktadır. Nasıl gerçek bir saldırı senaryosunda saldırgan tüm sisteme etki edebilme ihtimaline sahipse, bilinçsiz yapılan sızma testi de sistemlerinizde kesintiye neden olabilir. Böyle aksaklıkların yaşanmaması için pentest yapacak ekip ile hizmet verilen kurumun sistem yöneticileri koordineli çalışmalıdır. Sürekli iletişim ve koordinasyon ile tüm riskler minimuma indirilmeli ve herhangi bir kesintiye neden olmadan sızma testi gerçekleştirilmelidir.
Pentest Adımları Nelerdir? – Sızma Testi Aşamaları
Sızma testinin adımları sözleşmenin imzalandığı ve planlamanın yapıldığı ilk aşama ile başlamaktadır. Bu aşamada hizmeti verecek danışman firma ile hizmeti alan firma arasında gizlilik sözleşmesi yapılır ve bu sözleşmede belirtilen kapsam dahilinde hareket edilir. Hazırlık aşaması olarak ele alabileceğimiz sözleşme aşaması tamamlandıktan sonra sırasıyla teknik sızma testi aşamaları uygulanır:
- Keşif Aşaması: Bu aşamada sızma testi uzmanı hedef kurum ile ilgili araştırma yapar ve toplayabileceği her türlü bilgiyi toplayarak saldırı yüzeyini genişletmeye çalışır. Bilgi toplama adımı, pentestin en önemli adımlarından bir tanesidir. Bu adımda ne kadar fazla veri toplanırsa sızma testi de o oranda başarılı sonuç verir.
- Tarama Aşaması: Keşif aşamasında daha çok pasif bilgi toplama teknikleri kullanılırken tarama aşamasında hedef ile etkileşime de geçilerek daha somut ve işlevsel veriler toplanır. Nmap,Nessus, Burp Suite gibi araçlar ile hedef kurumun sistemleri taranır. Tarama çalışması neticesinde açık portlar, servisler ve servislere ilişkin versiyon bilgileri tespit edilir.
- Zafiyet Analizi Aşaması: Zafiyet analizi aşamasında tespit edilen portlarda çalışan servislere ilişkin zafiyetler belirlenir. Örneğin güncel olmayan bir servis kullanılması durumunda bu servise ilişkin bilinen zafiyetler araştırılır.
- İlk Erişim Aşaması: Zafiyetler tespit edildikten sonra istismar edilerek hedef sisteme ilk erişim sağlanır ve sızma işlemi gerçekleştirilir.
- Kalıcılığın Sağlanması: Kalıcılık aşamasında ise sızılan sistemde sürekli aktif kalabilmek için çalışmalar yürütülür. Eğer gerekirse, sızma testi uzmanı ağ içerisinde yatayda hareket ederek bir sistemden diğerine geçer. (Lateral Movement)
- Temizleme Aşaması: Gerçek bir saldırganın yapacağı gibi, sızma testi uzmanı ilgili çalışmaları tamamladıktan sonra sistemde kurmuş olduğu araçları kaldırır ve sistemde iz bırakmamak adına test esnasında elde edilmiş olan verileri silerek geride iz bırakmaz.
- Raporlama Aşaması: Pentestin en önemli aşaması raporlama aşamasıdır. Tespit edilen güvenlik zafiyetlerinin ortadan kaldırılabilmesi için hazırlanan raporun son derece açık, detaylı ve anlaşılır olması gerekmektedir. Sızma testi ekibinin gerçekleştirdiği testler titizlikle rapora işlenilir ve ilgili sistem yöneticilerine sunulur.
Sızma Testi Yöntemleri Nelerdir? – Pentest Metodolojileri
Penetrasyon testleri temelde 3 farklı metodoloji altında toplanmaktadır. Bu metodolojiler saldırgan kişinin bakış açısına ve sahip olduğu verilere göre şekillenmektedir:
- Black Box Pentest Metodolojisi: Black Box Sızma Testi, hedef sistem hakkında herhangi bir bilgiye sahip olunmadan, gerçek bir tehdit aktörü gibi sisteme yaklaşılarak tüm sızma işleminin sıfırdan yapıldığı pentest yöntemidir. Bu metodolojide saldırgan sistem hakkında herhangi bir bilgiye sahip değildir ve black box penetrasyon testi olası bir saldırıda yaşanabilecek en iyi sonucu gözler önüne sermektedir.
- Gray Box Pentest Metodolojisi: Gray Box Sızma Testi, hedef sistem hakkında kısıtlı bilgiye sahip olunan, sızma testi uzmanına belirli doğrultuda yetkiler verildiği kısmi black box sayılabilecek pentest türüdür.
- White Box Pentest Metodolojisi: White Box Sızma Testi, kurum sistemleri hakkında yeterli bilginin sistem yöneticileri tarafından pentester’a sunulduğu metodoloji türüdür. White box pentest yöntemi, daha çok hızlı sonuç vermesinden dolayı tercih edilmektedir.
Pentest yöntemleri yukarıda da bahsedildiği üzere 3 farklı kola ayrılmaktadır. Gerçek hayat senaryolarında karşılaşılabilecek siber olayların muhtemel etkilerinin en doğru şekilde tespit edilebilmesi adına blackbox metodoljisi tercih edilmelidir.
Pentest Yapılırken Hangi Yazılımlar Kullanılır?
Pentest çalışmaları sırasında en yaygın olarak kullanılan yazılımlar şu şekildedir:
- Metasploit
- Nmap
- Burp Suite
- Aircrack-ng
- John the Ripper
- SqlMap
- Recon-ng
- Subfinder
- Eyewitness
Yukarıda verilen manuel araçların yanında test çalışmalarını hızlandırmak için bazı otomatize araçlar da kullanılmaktadır:
- Nessus
- NetSparker
- Acunetix
- OpenVAS
Neden Pentest Yaptırmalıyız?
Geldik en önemli soruya; neden sızma testi yaptırılmalıyız?
Sistemlerinizdeki güvenlik açıklarının siber güvenlik firmaları tarafından kontrol edilmesi, güçlü ve zayıf yanlarının raporlanarak bilginize sunulması sistem güvenliğiniz adına büyük önem arz etmektedir.
Siz ve çalışanlarınızın güvenlik konusundaki tüm dikkat ve çabalarına rağmen, saldırganların sistemlerinizi istismar etmek adına kullanabileceği metod ve araçların bir sınırı yoktur. Saldırganların bilgi ve tecrübe seviyesine göre ihtimaller ve riskler boyut değiştirmektedir.
Bu sebeple sistemlerinizin güvenliğini; siber saldırganların bakış açısıyla hareket edebilecek, saldırı yöntemlerini bilerek bu yöntemlere karşın önlemler alabilecek “Beyaz Şapkalı” hacker ekiplerine test ettirmeniz güvenliği sağlamak ve artırmak adına daha gerçekçi ve verimli bir adım olacaktır.
Ek olarak PCI, HIPAA, KVKK gibi standartlar pentest (sızma testi) yaptırmayı zorunlu kılmaktadır.