SIZMA TESTİ – PenTest
SIZMA TESTİ – PenTest
PenTest olarak bilinen Penetrasyon Testi temel olarak bir bilişim sisteminin tüm yapı taşlarının olası siber saldırılara karşı, taranması, analiz edilmesi, sızılması ve sıkılaştırmasını kapsayan ileri mühendislik isteyen özel bir test sürecidir.
Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan sızma testinin uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Kategoriler: Siber Güvenlik
Tag: İç ve Dış Siber Tehdit, Kırmızı Takım, Red Team, Sızma Tespit, Pen Test, Penetrasyon
PENETRASYON TESTİ NEDEN ÖNEMLİDİR
PenTest’in nihai amacı, bir saldırgan gözüyle sistem altyapınızın ne kadar güvende olduğunu ortaya koymak ve açıklık bulunan noktaları kapatmaktır.
Bir kuruluşun güvenlik duruşundaki zayıf noktaları tespit etmenin yanı sıra, güvenlik politikasının uygunluğu nu ölçmek, personelin güvenlik sorunları
konusundaki farkındalığını test etmek ve kuruluşun siber güvenlik prensiplerini uygulama derecesini belirlemektir.
Unutulmaması gereken en temel husus, tüm sistemlerin saldırıya karşı hassas olduğudur.
Hiçbir sistem 100% güvende değildir. Bu sebeplerle kuruluşların sistemlerini düzenli olarak PenTest yaptırması ve işletim sistemi ile uygulamalara zamanında güvenlik yamalarını geçmesi çok önemlidir.
Penetrasyon Testleri temel de üç aşamaya ayrılır;
Siyah Kutu:
Bu yöntemde pentest gerçekleştirilecek kurumdan herhangi bir bilgi talebinde bulunulmaz, yapılan çalışmalar ile tamamı ile manuel gerçekleştirilen yöntemler sayesinde kurumun
internete açık olan veya olmayan ara yüzlerinden sisteme sızılması çalışması gerçekleştirilir. Bu sayede kurumun dışarıdan alabileceği tehditlerin genel analizi ve vektörleri çıkarışmış olur.
Kara Kutu yöntemi, dışarıdan gelen gerçek bir saldırı senaryosuna en yakın test yöntemidir. En büyük amaç hedef sistemde veri tabanına sızmaktır.
Gri Kutu:
Gerçekleştirilen bu test sayesinde kurumun içerisinde herhangi bir misafir gibi gelinerek sistemin boşluklarından faydalanıp sistemin tehlike yüzeyi analiz edilir. Bu sayede saldırganın kurumun içerisinde n mevcut sisteme geçişi, veri tabanlarına erişimi, uygulamalar üzerinden ki hâkimiyetine kadar pek çok süreç bu test sayesinde ele alınır.
Gri Kutu yöntemi, fiziksel olarak kurum içine girebilen bir hacker tarafından yapılacak saldırının ne oranda başarılı olabileceğini ortaya koyar. En büyük amaç sınırlı bir yetkiyle dahi olsa tüm sistemi ele geçirmektir.
Beyaz Kutu:
Güvenlik uzmanı, bu test ile birlikte testin yapıldığı kurumdan standart bir kullanıcıya ait bir tanımlama ister bu sayede uzman standart bir kullanıcı olarak sistem üzerinde haklarını artırıp artırmadığı, veri tabanlarına ve diğer tüm bilişim alt yapısı üzerinde ki hâkimiyeti kontrol edilir. Bu testler esnasında çeşitli araçlar kullanıldığı gibi sistemin saldırganı yakalamaması için gerekli tekniklerinde içinde bulunduğu özel manuel yöntemler kullanılır.
Beyaz Kutu yöntemi, kuruma içten gelecek bir saldırının ne oranda etkili olabileceğini ortaya koyar.
Son iki yıl içinde yaptığımız sızma testlerinde özellikle gri aşamada sistemlerinden en az birine sızamadığımız hiçbir kurum/firma (sadece 5-6 bilgisayardan oluşanlar dahil) olmamıştır.
PENETRASYON TESTİ AŞAMALARI:
Penetrasyon Testi, belli bir sistematik yaklaşım ile icra edilen bir süreçtir. ÖLÇSAN, Siber Güvenlik ve Yapay Zeka tarafından kullanılan Sızma Testi/Güvenlik Testi bu alanda tüm dünya tarafından kabul edilmiş OSSTMM (Open Source Security Testing Methodology Manual) v3 Open Source Security Testing Methodology Manual, OWASP (Open Web Application Security Project) Testing Guide 4.0 ve NIST 800-115 (National lnstitute of Standards and Technology-Technical Guide to Information Security Testing and Assessment) metodolojilerini esas almaktadır.
1. Pasif Bilgi Toplama (İz Sürme):
Ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere, testin kapsamını ve hedefler tanımlanır.
Bu aşama, hedef sistem altyapısı ve kapsamı dâhilindeki etki alanı adları, ağ blokları, yönlendiriciler, IP adresleri gibi bilgiler ile çalışan bilgileri,
telefon numaraları gibi saldırının başarısına katkı sağlayacak her türlü ayrıntı hakkında bilgi sahibi olunmasını sağlayan adımdır.
Açık kaynaklardan toplanan bu bilgiler birçok defa şaşırtıcı derecede kritik bilgileri içerebilmektedir. Bu maksatla başta hedef kurumun web sitesi ve sosyal medya platformları olmak üzere birçok kaynaktan istifade edilmektedir.
2.Aktif Bilgi Toplama ve Tarama:
Tespit edilen IP aralığı içinden hangi aktif ve pasif cihazların canlı olduğu tespit edilen bu aşamada, birinci aşamada elde edilen bilgilerin de yardımıyla önceliklendirme yapmak mümkündür.
Bu aşamada, tespit edilmiş olan canlı sistemlerde çalışan işletim sistemi, açık portlar ve servisler ile bunların sürüm bilgilerini elde etmek önemlidir.
Ayrıca dinlenebiliyorsa ağ trafiği de takip edilerek sistem altyapısı hakkında mümkün oldukça kritik bilgi toplanmaya çalışılır.
3.Döküm Çıkarma:
Hedef uygulamanın çeşitli izinsiz giriş denemelerine nasıl cevap vereceğini anladıktan sonra bu adımda, canlı olduğu tespit edilen sistemlerle aktif bağlantılar kurulur ve doğrudan sorgulamalar yapılır.
Diğer bir ifadeyle bu aşama; ftp, netcat, telnet gibi servislerin etkin olarak kullanıldığı ve hedef sistemlerle etkileşime geçildiği aşamadır.
4.Sistemi Ele Geçirme
Daha önceki aşamalarda elde edilen tüm bilgilerin tek bir amacı vardır. Hedef sisteme yetkisiz giriş sağlamak, veri tabanını okumak ya da ulaşılmaması gereken bilgilere erişmek.
Bu aşama; hedef sistem üzerinde çalışan işletim sistemi, açık olan portlar ve bu portlarda hizmet veren servisler ile bunların sürümleri ışığında uygulanabilecek sömürü yöntemlerinin denendiği ve içeriye sızılmaya çalışıldığı adımdır.
Özellikle web tabanlı portal ve uygulamalar, hem dışa bakan pencere olmaları, hem çok fazla saldırı vektörü barındırabilme özelliklerinden dolayı özel bir konuma sahiptirler.
Sistemi ele geçirme aşamasında mevcut sömürü yöntemlerini sisteme zarar vermeden, iz bırakmadan, başarılı ve esnek bir şekilde kullanabilmek ciddi bir uzmanlık ve deneyim gerektirmektedir. PenTest’in bu aşaması bu nedenle en önemli ve kritik adımdır.
5.Yetki Yükseltme
Bir sistem, sistemin en zayıf halkası kadar güçlüdür. Bir şekilde başarılan sistem erişimi genelde ilk adımda düşük bir yetki ile gerçekleşmektedir. PenTest uzmanı, bu aşamada, bulunduğu işletim sistemi ya da ortamdaki zafiyetlerden istifadeyle yetkisini yönetici seviyesine çıkarmayı, ardından, kazandığı bu ek yetkiler ile birlikte ağ ortamında bulunan diğer cihazları ve nihayetinde Etki Alanı Yöneticisi ya da Veri Tabanı Yöneticisi gibi en üst düz ey kullanıcı yetkilerini ele geçirmeyi hedefler
PENETRASYON TESTİ HİZMETİ VE SONRASI:
Penetrasyon testi neticesinde firmamız tarafından hedef sistemlerde tespit edilen güvenlik açıklıkları ve bu zafiyetlerin nasıl istismar edildiği örnek ekran çıktılarıyla birlikte sunulan “Sızma Testi Sonuç Raporu”nda yer alır. Sonuç raporunda ayrıca her bir açıklığın nasıl kapatılacağına dair çözüm önerisi de yer almaktadır.
Bir siber güvenlik firması olarak; yapmakta olduğumuz sızma testlerinin hassasiyeti, bağımsızlığı ve sıhhati açısından özellikle ürün satmıyoruz. Ancak talep edilirse sistemlerin daha güvenli olmasına yönelik güvenli ağ kurulum ve tasarımı danışmanlığı hizmetini ayrıca vermekteyiz.
Incedent Repsonse çözümlerimiz, güncel siber saldırıların öncesi, saldırı anı, sonrasına yönelik analizi dakikalar mertebesine indirerek otomatize hale getirilmesini sağlayan bir olay müdahalesi platformudur. Kolay kurulum ve entegrasyon özellikleri ile kurumların hali hazırda yatırım yaptıkları güvenlik ürünlerinden maksimum verim almasını sağlayarak, tecrübeli personel ihtiyacını azaltır.
• Patrol özelliği ile öncelik verilmesi gereken noktaları otomatik olarak highlight eder.
• Saatler hatta günler alabilen kanıt toplama süresini 5 dakikaya indirir.
• SIEM/SOAR/EDR entegrasyonu ile zaman bağımsız, tam otomatik olay müdahalesi imkanı sağlar.
• KVKK’daki 72 saatlik bildirim süresi geçilmeden dakikalar içerisinde atak ya da alarm timeline’ı oluşturulmasını sağlar.
• Siber Operasyon Merkezlerinin aldığı alarmların otomatik olarak zenginleştirilerek personel ihtiyacını azaltır.
• Kurumunuza ilişkin DarkWeb’de satılan değerli verilere ilişkin CTI raporlarına yönelik detaylı inceleme yapabilmenizi sağlar.
• Tüm uç noktalarınızda triage profilleri ile tehdit avı yapabilmenize imkan sağlar.
• Kolay ve anlaşılır raporlandırma ile delilleri parse işlemi gerektirmeden anında inceleyebilme imkanı sunar.
Referanslar:
1.OSSTMM (Open Source Security Testing Methodology Manual) v3 Open Source Security Testing Methodology Manual
2.OWASP (Open Web Application Security Project) TestingGuide 4.0
3.NIST 800-115 (National lnstitute of Standards and Technology – Technical Guide to Information Security Testing and Assessment)
1.OSSTMM (Open Source Security Testing Methodology Manual) v3 Open Source Security Testing Methodology Manual
2.OWASP (Open Web Application Security Project) TestingGuide 4.0
3.NIST 800-115 (National lnstitute of Standards and Technology – Technical Guide to Information Security Testing and Assessment)
