EN
EN

Güvenlik (Sızma) Testine Yeni Başlayacaklar İçin Pratik Kılavuz


Güvenlik testinde; başlangıçta kurum ve kuruluşlar arasında yaygın bir yanılgı oluşturan durum henüz yeterince büyük olmadıkları ya da yeterince tanınmış olmadıkları için siber suçluların bu durumla ilgili vakit kaybetmeyeceklerini düşünmeleridir. Ancak henüz çok büyük olmamak, tehlike durumunda olunmadığı anlamına gelmemektedir.  Bir girişim ya da organizasyonun boyutu, o girişimi ya da organizasyonu siber saldırılara karşı etkisiz kılmaz çünkü bilgisayar korsanları internet ortamında sömürebilecekleri bir sistem aramak için sürekli olarak tarama yapmaktadırlar. Bir hatadan veya kusurdan dolayı işletmeniz-organizasyonunuz olumsuz etkilenebilir. Neyse ki müşteriler de siber güvenliğin öneminin giderek farkında olmaya başladıkları için, verilerinin güvence altında olup olmadığını kontrol ederek, şirketlerin de yürütmekte oldukları süreçler hakkında soruları sorarak siber güvenlik alanının önemli bir iş etkileştiricisi olduğunu göstermektedir.

Kuruluşunuzun ya da organizasyonunuzun siber güvenliğini arttırmayı düşünüyorsanız nereden başlanılması gerektiği ile ilgili adımlar aşağıda verildiği gibidir:

-Güvenlik Testi Nedir?
-Güvenlik testi gerçekleştirme nedenlerini anlamak.
-Sızma testinin kapsamını tanımlamak.
-Sızma testinin ne zaman yapılacağını bilmek.

Güvenlik Testi Nedir?

Güvenlik (Sızma) testi, bilgisayar korsanları ve diğer tehdit unsurlarının yararlanabileceği güvenlik açıklıklarına karşı bir sistemi, ağı veya yazılım parçasını kontrol etme sürecini ifade eden geniş bir terimdir. Bu pek çok biçimde yapılabilirken biz iki ana maddesini ele alacağız.

Güvenlik Açığı Değerlendirmesi: Güvenlik sorunlarına karşı sistemleri veya uygulamaları taramak için araçlar kullanan otomatik bir güvenlik testidir. Kullanılan bu araçlara güvenlik açığı tarayıcıları denir ve uygulamalarınızdaki ya da altyapınızdaki kusurları ortaya çıkarmak için otomatik bir şekilde testler gerçekleştirirler. Kusur tipleri, uygulama düzeyindeki zayıflıklar, bulut yapılandırma sorunları ya da siber güvenlik ihlallerinin en yaygın nedenlerinden birisi olan yalnızca güvenlik yamalarının eksik olduğu yazılımların ortaya çıkması gibi kusurlardır.

Sızma Testi: Öncelikli olarak her ne kadar güvenlik açığı tarama araçları ile desteklense de siber güvenlik uzmanı tarafından manuel olarak yapılan bir değerlendirmenin yanı sıra tehdit aktörlerinin güvenlik açıklıklarından ne seviyede yararlanabileceğinin belirlenmesidir.

Sızma testi belirli bir zamanda mümkün olan en fazla zayıflığı bulmanın güzel bir yoludur ancak pentesterler tarafından yeni güvenlik açıkları konusunda ne kadar hızlı uyarılacağınızı hesaplamalısınız.Ayrıca güvenlik açığı tarayıcıları, kuruluşların daha derinlemesine ve daha pahalı manuel testler gerçekleştirmesinden önce güvenlik durumları hakkında daha detaylı bilgi edinmelerini sağlamaktadır.

Neden Güvenlik Testi Yapmalısınız?

Veracode’un yazılım güvenliği durum raporuna göre, dünya çapında 2.300 şirket tarafından kullanılan 85.000 yazılım uygulamasını içeren çalışma örneğinin %83’ünün ilk tarama sırasında en az 1 tane güvenlik açığına sahip olduğu ortaya konmuştur. Test olmasaydı eğer, bu kusurlar üretime zarar vererek yazılımı siber saldırılara karşı savunmasız hale getirecekti.

Bu nedenle bilgisayar korsanlarından önce zayıflıklarınızı belirlemek için güvenlik testine başlamaya karar vermelisiniz. Kendi gereksinimlerinize karar verme esnekliğine sahipsiniz. Güvenlik testi gerçekleştirmenin diğer yaygın nedenleri şunlardır:

Üçüncü parti veya müşteri istekleri: İş ortakları veya müşteriler, müşteri verilerinin siber saldırganlardan korunmasını sağlamak için güvenlik testi yapmanızı özellikle talep ettiyse daha katı gereksinimleriniz olabilir. Müşterilerin bir sızma testi talep etmesi çok yaygındır ancak bunun tam olarak ne anlama geldiğini nadiren belirtirler.

Uygunluk sertifikaları ve endüstri düzenlemeleri: Birçok endüstri düzenlemesi veya uyumluluk sertifikası, kuruluşların düzenli olarak güvenlik testlerinden geçmesini gerektirmektedir. Yaygın örnekler arasında ISO 27001, PCI DSS, SOC2 bulunur. Bu standartlar çeşitli ayrıntı seviyelerinde gerekli olan testleri belirtir ancak en spesifik olanı bile eldeki senaryoya bağlı olduğundan dolayı tam olarak nasıl test edileceğini veya neyin test edileceğini bildirmez. Bu nedenden dolayı genelde test edilen şirketin kendi senaryolarında hangi düzeyde güvenlik testinin anlamlı olduğunu belirlemek için en iyi yer olduğu kabul edilmektedir. Aşağıdaki kılavuzun neyi nasıl test edeceğinizi belirlemede yararlı olacağını görebilirsiniz.

Bireysel Güvenlik Testlerinden Önce Strateji Düşünülmeli:

Risk değerlendirmesi: Ne kadar hedefsiniz?

Her şirket benzersiz olduğundan dolayı risk şirkete özel olacaktır. Ancak doğru test seviyesinin ne olduğunu anlamak zor olabilmektedir. Sektörde görülen örneklere ilişkin kaba bir kılavuz olarak söylenebilir.

Korumak için neye ihtiyacınız var?

Güvenlik testini planlamadan önce varlık yönetimi olarak bilinen bir süreç olan hem teknik hem de bilgisel anlamda hangi varlıklara sahip olduğunuzu belirlemlisiniz.

Basit bir örnekle açıklayalım. Örneğin, 100 çalışan dizüstü bilgisayarımız var, çoğunlukla bulut hizmetlerini kullanıyoruz ve müşteri verilerimizin Google Cloud Platform’da depolanarak yedeklenmesini ve hem yönetici hem de müşteri erişimine izin veren bir uygulamamız bulunmakta.

‘En önemli verilerimiz IK sistemlerinde çalışan verilerimiz ve müşterilerimiz adına depoladığımız verilerimizdir.’ Bunu doğru bir biçimde düşünmek ve analizini yapabilmek, iyi bir test için testin kapsamını belirlememizde temel oluşturmaya başlamamıza büyük ölçüde yardımcı olacaktır. Örneğin:

-IK sistemimiz bir bulut hizmetidir ve onlardan güvenlik testi kanıtlarını isteyebiliriz, (Bunun sonucunda manuel olarak test yapmaya gerek kalmamış olur.) -Google Cloud’da hangi IP adreslerine sahibiz ve hangi alan adları kayıtlıdır, -Mühendislerimiz üretim veri tabanını indirmezler ancak bulut sistemlere erişimleri vardır, bu nedenle dizüstü bilgisayarları, bulut ve e-posta hesapları da saldırı yüzeyimizin bir parçası haline gelmektedir.

Bir Startup ne sıklıkta güvenlik testi yapmalıdır?

Testin türüne bağlıdır. Açıkçası sızma testlerinin sık sık yapılması daha maliyetli olsa da otomatik testlerin faydası, istenilen kadar düzenli olarak çalıştırılabiliyor olmasıdır.

National Cyber Security Centre NCSC (Ulusal Siber Güvenlik Merkezi) tarafından önerilen, en az ayda 1 kez rutin olarak güvenlik açığı taraması yapmaktır ve bu BT altyapısını güçlendirmeye yardımcı olmaktadır. Bu uygulama sayesinde, şirketlerin sürekli olarak yeni tehditler listesine göz kulak olmalarına yardımcı olur. Her yıl 10.000’den fazla yeni güvenlik açığı bildiriliyor. Düzenli olarak güvenlik açığı taraması yapmanın yanı sıra, her sistem değişikli yapılması durumunda da tarama yapılması önerilmektedir.

Güvenlik Açığı Tarayıcı Türleri:

Ağ tabanlı, vekil tabanlı, web uygulaması ve altyapı gibi çeşitli güvenlik açığı tarayıcıları arasından ihtiyaca yönelik seçim yapılabilir. Seçim, hangi varlıkların korunacağına yönelik amaca bağlı olarak değişmektedir.

Ağ tarayıcılarının bazı klasik örnekleri Nessus ve Qualys’dir. Her ikisi de pazarın liderleridir, sağlam bir güvenlik ve güvenlik açığı kapsamı sağlamaktadır. Başlangıç için daha basit bir örnek olan modern bir alternatif ise Intruder’dir. Bu çevrimiçi güvenlik açığı tarayıcısı olan Intruder, yüksek kaliteli kontrollerin yanı sıra ortaya çıkan tehditler için otomatik taramalar yaparken, güvenlikle ilgili olmayan uzmanlar tarafından kullanılabilecek şekilde özel olarak geliştirilmiştir.

Güvenlik Açığı Değerlendirmesinin Faydaları Nelerdir?

Güvenlik açığı değerlendirmesi, mümkün olduğunca çok sayıda güvenlik açığını otomatik olarak ortaya çıkarmayı hedeflemektedir. Bu sayede tehdit aktörleri onlara ulaşmadan önce hafifletilebilmektedir. Ayrıca manuel olarak yapılan penetrasyon testlerinin daha da verimli olmasına yardımcı olmaktadır.

Sızma Testi Ne Zaman Yapılır?

Önemli bir yeni özelliği yayınlamak gibi büyük değişiklikler sonrasında sızma testi yapılmalıdır ya da 6-12 aylık küçük değişiklikler sonrası (teorik olarak bakıldığında hepsi yanlışlıkla bir zafiyete sebebiyet verebilir) sızma testi yapılmalıdır. Yine sızma testi yapılması kuruluşun risk seviyesine bağlı olarak değişmektedir. Üç ayda bir veya daha sık gerektiren risk grubunda iseniz tavsiye edilir ancak risk yelpazesinin alt kısımlarında ise her 12 ayda bir yaygın olarak kabul edilen bir uygulamadır. Birkaç tür sızma testi mevcuttur. Penetrasyon testi, web uygulamalarının yanı sıra harici ve dahili ağlarınız gibi teknolojideki güvenlik kusurlarını arayabilir. Bununla birlikte, sosyal mühendislik durumunda olduğu gibi, bir kuruluşun insan kaynaklarında da güvenlik açıkları bulabilir. Seçtiğiniz sızma testi şirketi, test etmek istediğiniz varlıkların türüne bağlı olacaktır, ancak sertifikalar, fiyat ve deneyim gibi diğer faktörler de dikkate alınmalıdır.

Sonuç-Çözüm:

Güvenlik testi, sistemler, yazılımlar, ağlarda ve uygulamalarda güvenlik açıklarını tespit etmeyi amaçlayan kritik bir siber güvenlik sürecidir. En yaygın formları güvenlik açığı değerlendirmesi ve sızma testidir, ancak amaç her zaman kötü amaçlı aktörler onları sömürmeden önce güvenlik kusurlarını ele almaktır.

Tehdit aktörleri, suistimal edebilecekleri herhangi bir güvenlik açığı aramak için rutin olarak güvenlik testi yapmaktadırlar. Bir güvenlik kusuru, büyük ölçekli siber saldırıları başlatmaları için yeterli olabilir. Bu korkutucu olabilse de şirketiniz düzenli olarak siber güvenlik testleri yaparak daha iyi korunabilir.

 

KAYNAK1