Sızma testi, kuruluşların sistemlerindeki güvenlik açıklıklarının belirlenmesi ve çeşitli rollerle gelebilecek saldırılara karşı toleransını test etme, inceleme amaçlı yapılan kontrollü bir saldırıdır. Sızma testi uzmanı tarafından yapılan Sızma testlerinin amacı sistemlerdeki kritik güvenlik zafiyetlerini tespit etmektir. Sızma testi; kurumların güvenlik profillerini iyileştirmek, dışarıdan gelebilecek saldırılara karşı tedbirli olmak, kurumların güvenlik zafiyetleri sonucunda oluşabilecek veri kayıplarına ve değer kayıplarına engel olabilmektir. Sızma testlerinin güvenlik açısından sağladığı kritik hizmetler göz önünde bulundurulduğuna yılda en az bir kez sızma testlerinin yapılması önerilir.

Sızma testleri gerçekleştirilirken bazı belli sızma testi yaklaşımları kullanılmaktadır;

Beyaz Kutu (White Box) Sızma Testi:

Bu yaklaşım türünde sızma testi yapılacak sistem hakkında geniş bilgi birikimiyle birlikte kapsamlı test yapılır. Sızma testi uzmanları hedef sistem, ağ mimarisi, kaynak kodları, oturum açma kimlik bilgileri hakkında eksiksiz bilgiye sahiptir. Şeffaf kutu testi olarak bilinen beyaz kutu sızma testi diğer yaklaşımlara göre daha az risk taşır.

Kara Kutu (Black Box) Sızma Testi:

Kara kutu sızma testi, hedef sistem hakkında bilgi birikimi olmadan harici gerçekleştirilen bir yaklaşım türüdür. Uzmanlar sistem ağ, kaynak kodları, kimlik bilgisi gibi bilgilere sahip değildir. Bu yaklaşım diğer türlerden daha riskli olmasıyla birlikte güvenlik açıklıklarının saldırganlar tarafından kullanılabilirliğini doğrulayabilir ve nasıl kullanıldığını gösterebilir. 

Gri Kutu (Gray Box) Sızma Testi:

Gri kutu sızma testi, siyah ve beyaz kutu sızma testlerinin arasında sızma testi işlemini gerçekleştirecek uzmanlarla bazı kısıtlı bilgilerin erişimiyle yapılan yaklaşımdır. Sistemdeki Sıradan dahili bir kullanıcı profili ile güçlendirilmiş çevre içinde güvenliğin test edilmesine olanak tanır.

Sızma testi aşamaları aşağıdaki gibidir:

Kapsam Belirleme:

Sızma testi odak gerektiren disiplinlerden biridir. Kuruluşlar sürecin uzun süreçten, gereksiz maliyetten kaçınmak isterler. Sızma Testi hizmeti almak isteyen kurumlar bütünsel genel bir testin maliyetli olması sebebiyle belli bir kapsam belirler. Kapsamı detaylı belirlenmiş test ile maksimum verim alınabilir. Bu süreçte Kapasam belirleme Kurumlar için önem arz eder

Bilgi Toplama – Keşif:

Kapsamlı güvenlik testi yapabilmek için hedef hakkında pasif (hedef ile doğrudan etkileşim olmadan) /aktif (hedef ile doğrudan etkileşim) istihbarat toplama sürecidir. Bu süreçte IP adresleri, etki alanı detaylar, ağ topolojisi, posta sunucuları vb. çeşitli veriler elde edilebilir. Bilgi toplama sürecinde etkili, donanımlı veri toplama işlemi gerçekleştirilmesi testin sonraki aşamaları için optimum saldırı stratejisi planlamasını daha verimli hale getirir. Bu süreç test aşamalarında en önemli süreçlerden biridir.

Tarama – Güvenlik Açığı Tespiti:

Toplanan bilgiler doğrultusunda teknik araçlarla tarama yapılarak hedef sistemdeki güvenlik açığı tespiti analizlerinin yapıldığı aşamadır. Bu aşamaya kısaca güvenlik taraması da denebilir. Taramada hedef sistemin saldırganlar tarafından yararlanılabilecek potansiyel zayıflıkların belirlenmesi sağlanır. Otomatik araçlar ve manuel metodolojiler kombinasyonu taramaları sonucunda tespit edilen güvenlik açıklıklarının risk seviyeleri belirlenerek potansiyel istismar noktaları belirlenir. Sızma testi uzmanları, tespit edilen güvenlik açıklıklarının riskini belirleme aşamasında Ortak Güvenlik Açıklıkları ve Etkilenmeler (CVE) gibi birçok veri tabanı sisteminden faydalanır.

Sömürü Aşaması:

Yapılan keşif ve taramalar sonucunda belirlenen güvenlik açıklıklarının istismar edildiği aşamadır. Sızma testi uzmanı zafiyetleri tespit ettikten sonra gerekli gördüğü durumlarda zafiyetleri istismar etmeye çalışıp hedef sistemdeki saldırıda ne kadar ilerleyebildiğini test eder. Çoğu durumda zafiyet istismar edilmeden önce kurumdan onay alınır. Çalışan hedef sistemlerde test sırasında hasar görme ihtimali olduğundan en hassas ve en çok dikkat gerektiren aşamalardan biri sömürü aşamasıdır

Raporlama:

Toplanan veriler doğrultusunda yapılan testler tamamlandıktan sonra testi yapan uzmanlar tarafından sızma testinin bulgularını açıklayan kapsamlı rapor hazırlanır. Bu rapor hedef sistemlerdeki güvenlik açıklıklarının saldırı senaryoları sonuçlarının taslağını, risk değerlendirmesini, iyileştirme önerilerini içerir. Son aşamada hazırlanan rapor kuruluşun güvenlik zafiyetlerini düzeltmek ve genel güvenlik duruşunu iyileştirmek için büyük önem arz eder.

Genel olarak sızma testi raporunda aşağıdaki başlıkların yer alması beklenir:

– Giriş ve Yönetici Özeti

– Sızma Testi Metodolojisi

– Bulgular ve Zayıf Noktalar

– Önerilen Çözümler ve İyileştirmeler (Remediation)

– Sonuçlar ve Genel Değerlendirme

Sızma Testi Türleri:

Ağ Sızma Testi (Network Pentest): 

Ağ sızma testi gerçekleştirilen en yaygın sızma testlerinden biridir. Ağ sızma testi uzmanları, kurumların ağına ve kuruma ağına bağlı sistemlere erişebilen saldırgan bakış açısıyla güvenlik açıklıklarının tespit edilmesini hedefler. Bu sızma testi türünde kurum ağında çalışan servislerin ve protokollerin ne derecede güvende olduğunu kontrol edip zafiyet tespiti sağlanır. Ağ sızma testi yerel ve harici olarak iki farklı şekilde yapılabilmektedir. 

Web Uygulama Sızma Testi (Web Application Pentest):

Web uygulaması sızma testi, kurumun web uygulamalarındaki güvenlik açıklıklarının tespiti ve tespit edilen güvenlik açıklıklarının oluşturacağı tehditleri belirlemede rol oynar. Sızma testi uzmanları saldırgan bakış açsıyla oluşturduğu senaryoları otonom/manuel olarak başlattığı sızma testleri sonucunda zafiyetleri belirler ve bulgular eşliğinde kurumlara çözüm önerileri sunar. Web uygulamaları geliştiren kişi veya kurumların ürününü pazarlamadan önce tüm karşılaşabileceği güvenlik tehditlerinin bilincinde olması gerekir. Aksi takdirde büyük itibar kayıpları riski oluşacaktır. Bu noktada web uygulama sızma testleri ön planda tutulmalıdır.

Yük Testi (DDOS and Load Pentest):

DDOS sızma testi, Kurumların dışarıya açık olan uygulamalarının kaldırabileceği maksimum istek sayısı veya trafik seviyesini tespit edip kurum içinde DDOS saldırılarına karşı kullanılan savunma mekanizmalarının efektif olarak çalışıp çalışmadığını kontrol etmek için kullanılan bir saldırı türüdür. Bu saldırıda genellikle sızma testini gerçekleştiren kuruma ait olan birden fazla sunucudan belli saldırı türlerine göre modifiye edilmiş paketler kontrollü bir şekilde gönderilerek yapılmaktadır. Aşağıda bazı test saldırı türleri listelenmiştir:

– Hacimsel saldırı, ağ katmanını sahte bir trafiğe maruz bırakma durumudur.

– Protokol saldırıları, ağın 3. ve 4. katmanlarındaki protokollerin zafiyetleri istismar edilerek yapılmaktadır. Örnek olarak SYN Flood saldırısı verilebilir.

– Uygulama saldırısı katmanı, bu saldırı ağın 7.katmanında bulunan protokollere doğru yapılır. Örnek: Slowloris saldırısı  

Sosyal Mühendislik Sızma Testi (Social Engineering Pentest):

Sosyal mühendislik sızma testi insanlara ve bu süreçle ilgili olan güvenlik açıklıklarıyla ilgilenir. Sosyal mühendislik kurum çalışanlarının karşı karşıya kaldığı en büyük tehditlerden biridir. Sızma testi uzmanları kapsam içinde hazırladıkları sosyal mühendislik saldırı senaryolarıyla kurum çalışanlarından kurum adına kritik öneme sahip veya kurumun ağına sızmasını kolaylaştıracak bilgiler elde etmeye çalışır. Sosyal mühendislik testleri kurumların ve çalışanlarının sosyal mühendislik saldırılarına karşı duyarlılığında farkındalık oluşturur. Testler sonucunda kurum çalışanlarının sosyal mühendislik saldırıları konusunda eğitimi ve uygun güvenlik önlemlerinin alınması büyük bir önem taşır.

Mobil Uygulama Sızma Testi (Mobil Application Pentest):

Mobil uygulama sızma testi, mobil uygulamaların güvenlik açıklarını keşfetmek, kritik saldırı senaryolarıyla kurum için önem arz eden, müşteriyle birebir etkileşimde olan açıklıkların belirlenmesini kapsar. Mobil uygulama sızma testi istemci-sunucu mimarisiyle web uygulaması sızma testine en çok benzeyen süreçtir. Günümüzde mobil uygulamalar; kullanılabilir, kolay olmasıyla daha yayın kullanımı getirirken bu durum güvenlik açıklıkları risklerini de beraberinde getirir. Sızma testi uzmanları bu riskleri değerlendirerek belirli kapsam içindeki uygulamalara saldırgan bakış açısıyla mobil uygulama sızma testi gerçekleştirir. 

Kablosuz Ağ Sızma Testi (Wireless Pentest):

Kablosuz sızma testi genellikle tüm kurumlarda yaygın olarak kullanılan ve çoğu saldırganın ilk hedeflerinden biri olan wifi ağlarına yapılır. Kablosuz ağ sızma testinde wifi dağıtım cihazlarında veya kullanılan şifreleme ve kullanıcı doğrulama algoritmalarında bulunan güvenlik açıklıklarının tespit edilmesi hedeflenir. 

KAYNAKLAR:

• https://tr.wikipedia.org/wiki/S%C4%B1zma_testi
• https://www.ibm.com/topics/penetration-testing
• https://www.hackerone.com/knowledge-center/what-penetration-testing-how-does-it-work-step-step 
• https://www.w3schools.com/cybersecurity/cybersecurity_prenetration_testing.php
• https://www.microsoft.com/tr-tr/security/business/security-101/what-is-a-ddos-attack#:~:text=Birka%C3%A7%20farkl%C4%B1%20DDoS%20sald%C4%B1r%C4%B1%20t%C3%BCrleri,sald%C4%B1r%C4%B1s%C4%B1%20ve%20kaynak%20katman%C4%B1%20sald%C4%B1r%C4%B1s%C4%B1.
• https://cybersguards.com/web-application-penetration-testing-checklist-updated-2019/
• https://www.avast.com/c-penetration-testing
• https://www.cisco.com/c/en/us/products/security/what-is-pen-testing.html#~types-of-pen-testing