PenTest Penetrasyon – Sızma Testi Nedir ?
Ülkemize ilk olarak tıp dünyası ile giren orjinali Penetration olan kelimenin sonradan penetrasyon olarak Türkçeleştirilen anlam olarak Sızma, İçeri Girme şeklinde çevirebileceğimiz bilgi güvenliği terimlerinde sıkça duyduğumuz testler bütününe verilen isimdir. Kısaca sızma testi yada Pentest Penetrasyon olarak kullanılmaktadır.
Pentest oldukça geniş ve uzmanlık gerektiren bir konudur. Pentest sızma testi uzmanı yada bilişim güvenliği uzmanı olarak ve bazı kesimlerin White Hat olarak tanımladığı kişiler tarafından uygulanmaktadır. Siber güvenlik uzmanlarının gerçek yaşamdaki bir siber suçlu gibi düşünüp aynı davranışlar ile benzeri yada farklı yöntemleri kullanarak belirlenmiş hedefteki sisteme sızma saldırı, zorlama, atlatma, durdurma, hizmet dışı bırakma çalışmalarını gerçekleştirir.
Bu çalışamalar sistem içinden dışarıya ve sistem dışarıdan içeriye saldırılar yaparak yazılımsal ve donanımsal tüm sistemi aşamalı şekilde taranması ile gerçekleştirilmektedir. Bilgi güvenliği uzmanları penetrasyon testi esnasında sisteme uygun olarak önceden hazırlanmış yazılımları kullandığı gibi her sisteme özel sızma yazılımları da kullanabilmektedir.
Yapılan testler ve aşamaları bağımsız bir kuruluş olan 2009 yılında kurulmuş PTES ( Penetration Testing Execution Standard ) tarafından standartları belirlenmiştir ve bilişim güvenliği dünyası tarafından pentest için otorite olarak kabul görmüştür. Tüm bu testler yapılırken bilgi güvenliği uzmanının seçmiş olduğu açık kaynak kodlu yada lisanslı saldırı araçları kullanılmaktadır. Belirlenen hedefe uygulana bilecek tüm yöntemlerin uygulanarak sızmaya çalışılması işlemlerinin bütünü olan pentest kavramı sistem güvenliğinin sağlanmasının en temel parçasıdır.
White, Gray, Black Box PenTest Penetrasyon Test Nedir ?
Sızma Testlerinde 3 temel yöntem uygulanmaktadır. Hangi teste ihtiyacınızın olduğuna karar vermeniz ve test yapılacak sistemi hangi yöntemle hangi seviyede testler istenildiği çok önemlidir. Üç yöntem ve uygulamalar birbirlerinden farklı uzmanlık alanları ve seviyeler gerektirmektedir. Uygulama süreleri ve rapor değerleri değişmektedir. Hangi test türüne ihtiyacınızın olduğuna karar vermeniz açısından biraz pentest yöntem ve seviyelerini inceleyelim.
White Box
Türkçeye beyaz kutu olarak çevirdiğimiz ancak açık kutu anlamını taşıyan whitebox incelediğimizde pentest yapılacak sistem hakkında tüm detayların uzman tarafından bilinmesi ve sistemde çalışan yazılımlar kod parçaları dahil olmak üzere network server sistemi veri tabanları kullanıcı arayüzleri, çevresel ağ cihazları gibi güvenlik riski oluşturabilecek tüm unsurların bilgi güvenliği, zafiyet taranması ve raporlanması yöntemidir. Kod parçacıklarına kadar incelendiğinde uygulama uzun süreli ve yüksek maliyetli olabilir ancak sistem hakkındaki tüm bilgi uzmanda olmaktadır.
Gray Box
Siber güvenlik uzmanında sistemde bir kullanıcı bilgisi server erişimi, ağ erişimi gibi herhangi bir erişim bilgisi kurum tarafından verilir. Erişimden sonrasında ağ içerisinde, iç ağa sızmış bir saldırgan simüle edilerek testler gerçekleştirilir. White box ve Black box yöntemlerinin ikisininde kapsayan sızma testidir. Verilen sınırlı bilgi ile saldırganın sistem içerisindeki dolaşımı kritik verilere ulaşması mümkün mü gibi soruların cevapları ve çözümleri bulunmaya çalışılır. Gerekirse kod parçacıklarına kadar inceleme yapmak mümkündür.
Black Box
Penetrasyon yapılacak sisteme ait hiçbir bilgi erişim kullanıcı bilgisi IP yapısı gibi bilgiler mevcut değildir. Bilgi güvenliği uzmanı hedef üzerinde ağ erişimi veri tabanı erişimi sunucu erişimi gibi bilgilere ulaşmaya çalışır. Dışarıdan hiçbir bilgiye sahip olamayan siber suçlu simule edilir, iç ağda ulaşabileceği bilgiler ve riskler rapor edilip ilgili aksiyonlar listelenir. White box pentest de olduğu gibi bilgiler olmadığı için sistemden içeri girmek bilgilere erişmek zaman alır. Sistem girişi sağlandıktan sonra içerideki kod yapısına kadar incelene bilinmektedir. Genel olarak yüzeysel ve giriş seviyesinde sızma testleri yapılır.
Sızma Testlerini Neden Yaptırmalıyım ?
Güncel çağda bilişim sistemleri giderek karmaşıklaşma ve neredeyse her geçen gün sistemlere yenisi eklenmektedir. Sisteminizde kullandığınız web sunucuları veri tabanları ağ cihazları hatta yazıcılar bile ciddi güvenlik açıkları zafiyetler barındırabilmektedir. Sistem yöneticisi ve sistem güvenlik uzmanların gözünden kaçabilecek, zafiyetlerin farklı bir tecrübe farklı bir bakış açısı ile değerlendirmek olası güvenlik açıklarını tespit etmek riskleri azaltmaktadır. Ayrıca sistemi daha güvenli kararlı ve stabil halde tutmak için PenTest, Penetrasyon veya sızma testlerinin düzenli aralıklarla yapılması gerekmektedir. Bilgi güvenliği açısından değerlendirdiğimizde kurumun hizmet verdiği sektördeki otoritesine zarar vermeye engel olmakla birlikte yeni çıkan KVKK bilgi güvenliği yasasının işaret ettiği testlerin yapılması sağlanmış olacaktır.