Günümüzde işlerimizin büyük çoğunluğunu internet üzerinden gerçekleştiriyoruz ve bu ortamda güvenlik önlemlerine ihtiyaç duyuyoruz. İnternet ortamında veri hırsızlığı ve sistematik saldırılar, dijital dünyanın en büyük handikaplarından sayılıyor. Web siteleri üzerinde firmalar, kullanıcı bilgilerinden bütün şirket varlıklarına kadar bir yığın bilgi ve belgeyi, zararlı yazılımlara ve hackerlara karşı korumak durumundadır. Zararlı yazılımlar ve hackerlar, genellikle bütün sistemler üzerinde etkili sızma yöntemleri kullanır ve kullanıcıların zafiyetini kolayca tespit ederek saldırılarını gerçekleştirirler. Bu noktada kullanıcıların, web sitesi sahiplerinin, geliştiricilerin ve şirketlerin yapması gereken en öncelikli işlemler; penetrasyon testi, sızma testleri ve zafiyet analizleridir.
Penetrasyon / Sızma Testi Nedir?
Penetrasyon testi ve sızma testi şeklinde ifade edilen işlem, firmaların veri tabanlarında oluşabilecek güvenlik zafiyetleri ve sistem açıklarının bulunmasını ve iyileştirilmesini sağlar. Veri tabanı üzerinde oluşabilecek güvenlik zafiyeti ve sistem açığı, kötü niyetli yazılımların ve kişilerin veri hırsızlığı yapmasına ve sisteme etki etmesine zemin hazırlar. Bu gibi durumlarla karşılaşmamak için sistemlerin güvenlik duvarı aşılamayacak şekilde güçlendirilmeli ve açıklar giderilmelidir. Bunun mümkün olabilmesi için etkili tarama yöntemleriyle sorun teşkil edebilecek noktaların en ince ayrıntısına kadar tespit edilmesi gerekmektedir. Güvenlik alanındaki risklerin belirlenmesi, çözüm için atılması gereken ilk adımdır.
Bu doğrultuda sızma testlerini bilişim alanında bilgili ve uzman kişi veya kurumlar, yasal düzlemlerden ilgili yazılımlar aracılığıyla gerçekleştirir. Dolayısıyla hem uzman bir bakış açısıyla ve profesyonel anlamda bilgi güvenliği tesis edilmiş olacaktır.
Zafiyet Analizi Nedir?
Veri tabanımızdaki en önemli unsurlardan biri olan bilgi güvenliğinin tam anlamıyla sağlanabilmesi için, detaylı ve ince ayrıntılara dek bütün sorunların tespit edilip bir işlem sırasında göre sıralanması gerekir. Bilgi güvenliği bugün birçok alanda öncelikli konularımızdandır. En küçük hatada ya da açıklıkta veri hırsızlarının sızma olanağı bulması kaçınılmazdır. Bu sebeple yapılan işleme zafiyet analizi denir. Sisteminizin içerisinde yer alan zafiyetlerin belirlenip riskler üzerinde doğru önlemlerin alınması hayati önem taşır.
Zafiyet analizlerinin Penetrasyon/sızma testinden farklı olan tarafı ise sistem üzerindeki açıkların tespit edilmesinden sonra bu zafiyetlerin yapay saldırılardan nasıl etkilenebileceğinin test edilmesidir. Böylelikle en zayıf halka tespit edilmiş olacak ve açıklıklar önem sırasına göre işleme tabi tutulacaktır.
Neden Sızma Testi ve Zafiyet Analizi Yapılır?
Siber güvenlik, bugün en önemli gündem maddelerimizden biridir. Kullandığımız bilgisayar ve internet sistemlerinin tümünde veri ve çalışmalarımızı koruma altına alabilmemiz için sistem dinamiklerini ve güvenlik zafiyetlerini tanımamız büyük önem taşıyor. Böylelikle sistem, veri hırsızları ve dijital saldırganların etkisinden korunmuş olacaktır. Sızma/Penetrasyon testleri ve zafiyet analizi büyük zararların ve hırsızlıkların engellenmesi ve ileriye dönük önlemler alınması amacıyla gerçekleştirilir. Sistemlerin hangi noktalardan saldırı alabileceğini test etmek tek başına yeterli olmayacaktır. Tespit edilen sorunların düzeltilmesi ve sistemin saldırılardan etkilenmesini engellemek ana hedef olarak görülmelidir.
Penetrasyon / Sızma Testi Türleri ve Uygulama Alanları
Penetrasyon testleri genel olarak devlet kurumlarında, banka, maliye, muhasebe gibi finans kaynaklı ortamlarda ve farklı disiplinlere yönelik kurumlarda uygulanmaktadır. Farklı alanlarda ise bu işlem isteğe bağlı olmakla beraber son derece faydalıdır. Öte yandan dijital ortamlarda güvenlikli bir kullanım için bu testler büyük önem taşır ve herkes tarafından kullanılmalıdır.
Sızma testleri üç faklı türde gerçekleştirilir. Bu türler, uygulanacak testin hedeflendiği alana, araştırılacak sızma yöntemine ve testin yapılacağı sistem türüne göre belirlenmektedir. Testler; dahili, harici ve mobil uygulama testleri şeklinde sınıflandırılabilir.
1. Internal (Dahili) Sızma Testi
İnternal sızma testi, ağ üzerinden yapılacak teknik incelemeleri içerir. Bu işlem bir test aracı (cihaz, yazılım vb.) ile veriler üzerinde iç etkileri ve açıklıkları ölçümlenir ve saldırılardan etkilenme ihtimalleri test eder.
Test araçları, dahili sistemler üzerinde bilgilerin keşfini ve ağ ayrıntılarını ortaya koyacak şekilde çalışır. Bu veriler üzerinde yeteri kadar ayrıntı elde edildikten sonra sistemin güvenliğini test edecek yapay saldırılar gerçekleştirilir. Bu işlem aracılığıyla, sistem üzerindeki güvenlik açıkları düzenlenen saldırılardan hangilerinde yakalandıysa o tür yazılımlara karşı etkili olacak yeni güvenlik önlemleri alınır.
2. External (Harici) Sızma Testi
Dışa açık sistemler üzerinde kullanılan bu yöntem, harici bağlantılar üzerinden güvenlik duvarını aşarak içeriğe ulaşmayı hedefler. Böylelikle, dış kaynaklı sızmaların yapılabileceği noktalar ve zafiyetler tespit edilerek gerekli önlemler alınabilir. Harici sızma testi özellikle e-posta ve web siteleri üzerinden sağlanabilecek spam ve saldırıların hangi zayıf noktaları hedef alabileceğini araştırır, bu noktalardan sistemin zarar görme ihtimalini saptamaya çalışır.
Bu testin yapılmasında yeterli derecede sonuç elde edebilmek için, çok farklı varyasyonların gözden geçirilmesi ve araştırmaların geniş alana yayılması özellikle tercih edilir. Her türlü saldırı ihtimali bu noktada göz önünde bulundurulmalıdır. En büyük güvenlik zafiyetlerini barındıran bu açık bağlantı noktaları, üzerinde ödeme işlemleri, parola vs. gibi bilgiler özellikle tehlike altındadır. Kişisel bilgiler ve parola saldırıları bu nedenle öncelikli test alanlarını oluşturur. Harici ve dahili sızma testleri birbiriyle ilintili ve tamamlayıcı pozisyonda işlemlerdir.
3. Mobil Uygulamalar için Sızma Testi
Kullanıcı verilerini ve şirket verilerini pratik kullanımlar için mobil web uygulamaları üzerinden birleştiren uygulamalar da dış saldırılara açık güvenlik zafiyetleri gösterebilmektedir. Bu tür verilerin incelenmesi ve açıklıkların saptanması ise yine harici sızma testiyle aynı şekilde saldırı yöntemlerinin model alınması ve yapay saldırılarla sağlanır.
Siber Güvenlik Yöntemleri
Penetrasyon/sızma testlerinin yapıldığı farklı yöntemler söz konusudur. Bu yöntemler, güvenlik alanında sistemimizin gereksinimleri doğrultusunda belirlenir. Kullanıcılar verileri üzerinde iki farklı siber güvenlik yöntemi uygulamaktadır. Bunlardan biri defansif diğeri ofansif güvenlik yöntemleridir. Bu kavramları biraz açmak gerekirse, kısaca tanımlamaya çalışalım.
1. Defansif Güvenlik
Defansif güvenlik adından da anlaşılacağı gibi korumacı bir güvenlik yöntemidir. Bu yöntemler kullanıcılar, verilerinin üzerinde oluşabilecek saldırılarla ilgili önceden bir eylem gerçekleştirmez. Ancak bir saldırı gerçekleştiğinde güvenlik işlemleri sağlanır ve zararlı yazılım ya da sanal kişilikler egale edilebilir. Çünkü dijital ortamlarda çok yönlü hareket etmek ve önceden ihtimallere karşı hazırlanmak daha olumlu sonuçlar doğurur.
2. Ofansif Güvenlik
Bu yöntemin kullanılması en etkili güvenlik biçimlerindendir. Önceden bütün hesaplamalar ve saldırı yöntemleri üzerine tahminler geliştirilmiş olur. Ofansif yöntem, saldırıyı kullanarak gerçekleştirilir. Şöyle ki; zararlı yazılımların ya da veri hırsızlarının sisteme hangi yollardan saldırabileceğini ve hangi noktalarda güvenlik zafiyeti olduğunu görmek için uygulanan en makul ve olumlu sonuçlar yaratan yöntemdir. Bu yöntemle ilk önce yaşanabilecek olan problemler belirlenir, sonra sızma testi yapılır, sızma tespitine göre sorun oluşturabilecek zafiyet analizi gerçekleştirilir. Bu aşamada saldırılar birebir gerçekleştirilerek zayıf noktalar üzerinde en doğru tespitler yapılır. Daha sonra tespit edilen açıklıklar iyileştirilir.
Bu noktada uygulanan sızma testi yöntemleri büyük önem taşımaktadır. Test yöntemleri firma ile test uygulayıcısı güvenlik şirketi arasında bir bilgi akışı gerektirir. Üç farklı test yöntemi vardır. Bu yöntemleri aşağıdaki gibi sıralayabiliriz:
- Black Box / Kara Kutu: Black Box yöntemi, sistem hakkında güvenlik şirketine herhangi bir bilgi verilmeden yapılan test işlemini ifade eder. Bu yöntemde test edici, sisteme dışarıdan müdahale eder ve sızmaya çalışır. Bu şekilde tespit edilen sistem açıkları üzerinden koruma sağlanır.
- White Box / Beyaz Kutu: Black Boxîn aksine White Box, test ediciye sorun yaşanabilecek noktalar ve sistem hakkında detaylı bir bilgi verilir. Böylece, sorunlar daha kolay test edilebilir. Bu hem vakit kazandıran hem de işlemin etkisini arttıran bir yöntemdir.
- Gray Box / Gri Kutu: Diğer iki uygulamanın bir karışımından oluşan bu yöntemde, belirli miktarda bilgi ve aynı zamanda yapay saldırı şeklinde sızma testi uygulanır. Bu yöntemle özellikle belirli noktalara yönelik işlem yapılır.
Penetrasyon / sızma testi, zafiyet analizi ve siber güvenliğin bütün diğer yöntemleriyle MyDISK, son teknoloji uygulamalar yardımıyla hizmet vermektedir. Sistemleriniz üzerinde gerçekleşebilecek güvenlik zafiyetlerinin sızma testleri aracılığıyla tespiti ve çözümü konusunda uzman ekipler tarafından hizmet sağlanmaktadır.
Sızma Testine Neden İhtiyaç Duyulur?
- Sızma testi sonuçlarına göre kritik seviyedeki açıklar kapatılır.
- Sistemin güvenlik risklerine önlem alınır.
- Saldırganların olası saldırı senaryoları uygulanarak sistemin dayanıklılığı test edilir.
- Güvenlik politikalarının gözden geçirilmesi sağlanır.
- Saldırganlara karşı önlem alınarak firmaların zarara uğramasına engel olunur.
Sızma Testi Yaptıracak Firmanın Dikkat Etmesi Gereken Hususlar
- Sızma testi yapacak ilgi kurum veya kişi ile NDA –Gizlilik Sözleşmesi- imzalanmalıdır.
- Sızma testi uygulayacak kurum veya kişilerin sertifika veya belgeye sahip olması tercihiniz olsun.
- Pentest firmaları referanslarını inceleyin, örnek bir rapor isteyin.
- Pentest yapacak firmanın güvenirliliğinden emin olun.
- Pentesti uygulayacak kişinin o firmada çalıştığından emin olun.
MyDISK, sızma testlerine ihtiyaç duyan firmalara uzmanlar tarafından güvenlik açığı tespiti yapılarak raporlanması hizmeti vermektedir.
- Siber Güvenlik Temelleri
- Sızma Testi Temelleri
- Temel Ağ Bilgisi
- Temel Web Uygulama Güvenliği Bilgisi
- Temel Linux Bilgisi
- Bilgi Toplama Yöntemleri
- Güvenlik Zafiyetleri ve Keşif Yöntemleri
- Sık Kullanılan Araçların Tanıtımı
- Metasploit Tanıtımı
- Burp Suite Tanıtımı
- Exploitation Aşaması
- Post Exploitation Aşaması
- Paket Analizi ve Sniffing
- Güvenlik Sistemleri ve Atlatma Yöntemleri
- IPS/IDS/WAF Atlatma Teknikleri
- DoS/DDoS Saldırıları
- Parola Kırma Saldırıları
- Kablosuz Ağ Saldırıları
- Uygulamalar
- Raporlama
MyDISK, Penetrasyon / sızma testleri, zafiyet analizi ve sorun çözümüyle ilgili hizmet alabilmek için, MyDISK web sitesinde bulunan canlı destek hattı üzerinden iletişim kurabilirsiniz. Ayrıca siber güvenliğin her alanında destek almak ve bilgi edinmek için 444 83 74 numaralı telefonu arayabilirsiniz.