Menu
Penetrasyon testi artık standart ihtiyaç
Sızma testlerinde siber suçluların kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve sistemler ele geçirilmeye çalışılır. Penetrasyon testi yapan siber güvenlik uzmanları, siber saldırgan gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak, gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının belirlenmesini sağlamaktadırlar.
Penetrasyon Testi (Pentest) nedir?
Siber saldırganların kurumlara sızmak için kullandığı yöntemleri simüle etmeye Penetrasyon Testi, Sızma Testi veya kısaca Pentest denir. Sızma testleri ile başımıza bir şey gelmeden bir hacker bakış açısı ile bakarak açıklıklar tesbit edilir. Bu tesbitler ilgili sistem ve yazılım ekiplerine verilerek zaafiyetler kapatılır ve sistem daha güvenli hale getirilir.
Saldırganların kullanabilecekleri çok sayıda yöntem vardır. Bunlar Mitre Att@ck Framework altında kategorize edilmiştir. Sızma Testi uzmanları bu yöntemleri kullanarak zaafiyetleri tesbit etmeye çalışırlar.
Pentest nedir ile ilgili daha detaylı bilgi ilgili sayfamızdan görülebilir.
Sızma Testleri sistemleri dışarıdan bir gözle analiz ederek saldırılara karşı dayanıklılık sağlar. Hemen her kurum için gereklidir. Ancak sistemlerin konfigürasyonalarında olabilecek mantıksal hataları, mimari yapı zaafiyetlerini, süreç ve işleyiş sorunlarını bulamaz. Bunun için BT regülasyon bakış açısı ile boşluk analizi ve teknik konfigürasyon analizi yaptırmak gerekir. Uçtan uca BT analizi hizmetimiz Digital Maturity Assessment hizmetimiz ile ilgili detaylı bilgiye ilgili sayfamızdan ulaşabilirsiniz.
Neden Sızma Testi yaptırmalısınız?
Bilişim sistemlerine illegal bir sızma gerçekleştiğinde kurumlara açtığı zarar çok yüksek olabilmektedir. Siber saldırılar maddi zarar vermeklel birlikte iş gücü ve prestij kaybına da neden olmaktadır.
Siber güvenlik mümkündür. Ancak bunun için çok katmanlı bir güvenlik mimarisi ve bakış açısına ihtiyaç vardır. Sızma testi bu katmanlardan biridir. Yazılımı veya sistemi hazırlayanlar bazı önlemleri atlayabilir veya gün geçtikçe yeni saldırı yöntemleri geliştirilebilir, bu da sistemlerde istenmeyen yeni kapılar açılmasına neden olabilir. Mesela Log4J, Blaster, MS17, Shellshock açıkları uygulamalar yayınlandıktan yıllar sonra açığa çıkmış ve birçok kurumda ciddi riskler oluşturmuştur. Bu gibi kritik açıklar piyasada duyulup hızlı bir şekilde kapatılsa da birçok zaafiyet farkedilemeyebilmektedir. Sistemlerin sürekli güncel tutulması siber güvenlik için önemlidir ama özellikle yazılımlardan kaynaklı açıkları bulabilmek için bir saldırgan bakışı ile yapılabileceklerin incelenmesi gerekmektedir. Bunun için oluşturulan metodolojiler standartlaşmıştır ve bir hizmet olarak sunulur. Finans, Üniversite, Savunma Sanayi gibi birçok sektörde de bu hizmetin belirli periyodlarda yaptırılması zorunludur.
Genel olarak Penetrasyon testinin amaçları olarak şunlar sayılabilir:
Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
Bir hacker bakışı ile bakarak alternatif bakış açısı sağlamak,
Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek,
Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak,
Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak,
Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerine destek olmak,
Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak,
Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek,
Denetim ve Sertifikasyon kurumlarının gerekliliğini karşılamak.
Neden Farklıyız?
Uygulamaların her açığı kolayca tespit edilemeyebilir. Detaylı çalışmalarda farklı yöntemler denemek gerekir. Özellikle aşamalı yapılan saldırılar (araştırma, açık bulma, dosya atma, diğer sunuculara atlama, hak yükseltme gibi) hackerların kullandığı tekniklerdendir. Firmamız da Sızma Testlerinde farklı yazılım, yöntem ve teknikler kullanarak açıklıkları en yüksek oranda tespit etmeye çalışır.
Turem Bilişim’e özel raporlama yazılımı
Sızma testi raporlarında OWASP standardına uygun ve anlaşılır bir raporlama için ayrı bir yazılım kullanılmaktadır. Bu yazılım rapor yazma süresini azaltmakta, raporda atlanan kısımlar olmasını engellemekte ve rapora bir standart getirmektedir.
Lisanslı Yazılımlar
Sızma testlerinde yapılacak analize, teknolojiye ve uygulamaya göre yüzlerce farklı uygulama kullanılır. Bu uygulamaların bir çoğu Kali Linux sisteminde toplanmıştır. Firmamız; birçok firma gibi Kali Linux sistemini kullanmakla beraber; olası açıkları daha detaylı ve sağlıklı tarayabilmek ve manuel testleri yapabilmek için birçok yazılımı da satın alarak sızma testi hız ve kalitesini artırmıştır.
Kullandığımız bazı yazılımlar:
Cyber Kill Chain nedir?
Lockheed Martin firmasına göre sofistike bir saldırı aşağıdaki aşamaları içerir:
Firmamız birçok kurumda bu şekilde aşamalı bir çalışma ile dışarıdan testler yaparak “Domain Admin” rolüne sahip tüm yetkili seviyeye ulaşabilmiştir.
Güçlü rapor güvenliği altyapısı ve sistematiği
Bulgular ve çözümleri içeren, Yönetmeliklere (EPDK, BDDK vb.) ve Uluslararası Otoritelere (OWASP, NIST, ISSAF, PCI-DSS, PTES vb.) uyumlu raporlarımız titizlikle hazırlanmaktadır.
Sızma Testi Akreditasyonlarımız
Firmamızın Sertifika Portföyü
Sertifikalı Uzman Kadro
Firmamız Siber Güvenlik’te öncü kuruluşlardandır ve birçok kurumdan teknik ve güvenilirlik akreditasyonunu almıştır.
Farklı Ortamlarda Tecrübe
Firmamız Sızma Testi konusunda farklı altyapılara ve disiplinlere sahip yüzlerce kurumda başarılı projeler gerçekleştirmiştir.
Sızma testi hizmeti referanslarımız gizlilik nedeniyle müşterilerimizden izin alınarak paylaşılmaktadır.
Kuruma ve Uygulamaya özel saldırı senaryoları
Sızma testlerinde gerçek Hacker gözü ile bir bakış açısına ihtiyaç var. Otomatik tarama yazılımları sadece açıkların standart olanlarını bulur. Kritik açıkların bir çoğu uygulamaya özel detaylı analizlerle bulunabilir. Yazılım çalışma mantıklarını çok iyi bilen ekibimiz birçok manuel yöntem ve senaryo ile uygulamaya özel testler gerçekleştirerek gerçek zaafiyetleri tespit etmektedir.
İçeriden ve dışarıdan “Domain Admin” olma senaryoları
Güvenlik açığı analiz yazılımları tarama yaparken incelediği servisin/yazılımın versiyonuna göre, aldığı cevaba göre bir açık olabileceğini tesbit eder. Ama bu açığın gerçekten var olup olmadığını denemek tehlikelidir. Açıklıkların gerçek olup olmadığının kontrollerinin manuel yapılması gerekir. Bu nedenle birçok Sızma Testi raporu içinde hatalı tesbitler barındırır. Bu hatalı tesbitlere “False Positive” denir. Yaptığımız sızma testlerinde farklı yazılımlardan, farklı ekip arkadaşlarından gelen bulgular tek tek kontrol edilerek gerçek açıklıklar sadece raporlanır. Bir sızma testinin başarısı açıklıkları maksimum seviyede bulabilmesi ile ölçülür. Birçok kurumda ekibimiz yıllardır yapılan testlerde tesbit edilmemiş çok sayıda açığı tesbit edip raporlamıştır.
Rapor Sistematiğimiz
Bulgular ve çözümleri içeren, Yönetmeliklere (EPDK, BDDK vb.) ve Uluslararası Otoritelere (OWASP, NIST, ISSAF, PCI-DSS, PTES vb.) uyumlu raporlarımız titizlikle hazırlanmaktadır.
Sızma testi raporları kurumlar için risk oluşturabilecek çok gizli bilgiler içerir. Firmamızın raporların güvenli iletilmesi için şifreli rapor iletim altyapısı mevcuttur. Rapor erişimi ve dosya her zaman şifrelidir. Rapor linki mail ile, şifreler SMS ile iletilir. Tüm raporlar doğrulama testlerinden belirli bir süre sonra silinir. Sızma testi uzmanlarının bilgisayarlarında çalıştığı aktif projeler dışında hiç bir dosya tutulmaz ve sistem sürekli denetlenir. Raporlar bizde de kalmadığı için kurum tarafından çok dikkatli bir şekilde tutulmalıdır.
Penetrasyon Testi firması nasıl seçilir? Nelere dikkat etmek lazım?
Penetrasyon testi bir hizmet işidir. Aynı iş için farklı firmalar; sadece bir günde veya birkaç ayda sızma testi yapabilmektedir. Aynı iş için bir firma risk yok derken başka bir firma her türlü bilgiye ulaşılabildiğini ve değiştirilebildiğini gösterebilmiştir. O nedenle doğru firma seçimi önemlidir. Genel sektör tecrübesine göre firma seçerken şunlara dikkat edilmelidir:
Ekibin Yetkinliği
Firmamız uzun yıllar bu alanda tecrübe edinmiş ve yetkinliğini sertifikalar ile ispatlamıştır. Ayrıca ekibimiz sürekli kendini güncel tutmak için her yıl yeni saldırı yöntemleri ve yeni sertifikasyonlar ile ilgili eğitimler alarak kendini sürekli geliştirmektedir.
Firmanın Referansları
Firmamız yüzlerce sızma testi referansına sahiptir. Savunma sanayi kurumları, Telko, Havacılık, Ulaşım, Bakanlık, Belediye ve Özel Sektör firmaları tecrübelerimiz mümkündür. İstenildiğinde referanslarımız müşterilerden izin alınarak paylaşılmaktadır.
Firmanın Güvenilirliği
Siber güvenlik hizmetleri özellikle özellikle güvenilir firmalara yaptırılmalıdır. Firmamız 25 yıldır sektörde güvenilir olarak isim yapmıştır. Ayrıca güvenilirliğimizin tescili için TSE, Siber Küme ve Nato onaylı firma sertifikaları alınmıştır. Personeller için Milli Savunma Bakanlığı üzerinden “Kişi Güvenlik Belgesi” alınmakta ve etik dışı her türlü çalışmalardan uzak durulmaktadır.
Sızma Testi Metodolojisi
Sızma testi yapılacak altyapı veya uygulamaya özel sızma testi metodolojileri uygulanmaktadır. Çalışma metodolojisi test öncesi sunum yapılarak anlatılmaktadır.
Raporun Nasıl Güvenli Tutulduğu
Sızma testi raporları kurumlar için kritik bilgiler içerir. Rapor güvenliği için BeyazNet’e özel geliştirilen paylaşım ve şifreleme sistematiği TSE denetimlerimde takdir almamızı sağlamıştır.
Örnek Raporun Yapısı
Hazırlanan raporun anlaşılabilirliği, çözümleri içermesi, risk seviyelerine göre bulguları sunması çok önemlidir. Hazırlanan rapor; sızma testi raporlama standartlarına uygun hazırlanmaktadır. Rapor standardı için ayrı bir yazılım kullanılmaktadır.
Proje Yönetim Kabiliyeti
Pentest projelerinde kapsamın doğru belirlenmesi ve kapsama sadık kalınması çok önemlidir. Ayrıca sızma testi aşamalarında kurumdan alınması gereken bilgiler ve kurumun yapması gereken hazırlıklar bulunmaktadır. Bu nedenle proje yönetimi, projenin sağlıklı yönetilebilmesi için çok önemli bir role sahiptir. Firmamız 10 adam x gün’lük sızma testlerinden, 500 adam x gün’lük bir yıl süren sızma testlerine kadar çok fazla sayıda projeyi başarı ile tamamlamıştır. Ayrı bir proje yönetim ekibi bulunmaktadır. Proje yönetim ekibi, sızma testi projelerini Scrum metodolojisi ile takip etmekte, müşteri ve teknik ekiple sürekli iletişimde kalarak projenin sağlıklı tamamlanmasını sağlamaktadır.
İnternet Üzerinden Sızma Testi
İnternet üzerinden sızma testi, ilgili hedefin IP, port ve domainlerin keşfedilmesi veya belirlenen hedef üzerinden saldırı biçimi olarak Google Dork, Offensive (Saldırgan) OSINT, Açık Port ve servislerin belirlenmesi yolları ile devam eden bir sızma testidir. Kritik olan servis, uygulama veya dosyalar internete (public) açık olarak unutulabilir ve saldırgan bu aktif ve pasif bilgi toplama teknikleri ile bilgi toplayabilir ve saldırı yüzeyini genişleterek etkin bir saldırı gerçekleştirebilir.
Yerel Ağ ve Sistem Sızma Testi
Birçok kurum tarafından bir saldırganın yerel ağa erişim sağlayamayacağı düşünüldüğü için göz ardı edilmektedir. Bilişim teknolojileri altyapısında saldırı yüzeyi çok geniş olduğu için altyapının bir zafiyetten tamamen korunabilmesi oldukça zordur. Güvenli olmayan bir yerel ağ, hassas verilerin çalınmasına, hizmet reddine veya yetkisiz erişime neden olabilir.
Yerel ağ güvenliği testinde, sistem zayıflıkları kullanılarak gerçek bir saldırganın eylemleri taklit edilir. Kurum altyapısında olabilecek sunucu sistemleri, switch, router, firewall gibi bütün ağ bileşenlerinin güvenliği test edilmelidir.
Turem Bilişim tarafından yapılan yerel ağ güvenliği testlerinde, BT altyapısının gizliliğini, bütünlüğünü ve erişilebilirliğini bozmak için kullanılabilecek zayıflıklar incelenir, olası etkileri araştırılır ve uygulanır. Son olarak kurumda tespit edilen bulguların güvenlik derecelendirmesine göre sıralayarak, ayrıntılı zafiyet açıklaması, yerel ağda oluşturacağı etkiler, ekran görüntüleri, çözüm önerileri ve referans linkleri ile birlikte raporlanır.
Active Directory Sızma Testi
Active Directory Testi, AD ortamında standart yetkide bir kullanıcı hesabı ile teste başlanır. İlgili kullanıcı ile AD genel yapısında yanlış yapılandırmalar, yetersiz iyileştirme prosedürleri başta olmak üzere sistem yöneticileri tarafında gözden kaçan Active Directory zafiyetleri keşfedilmeye çalışılır. Active Directory testinde amaç en yetkili kullanıcı olarak bilinen Domain Admin yetkisine erişmektir.
Web Uygulama ve Sunucuları Sızma Testi
Web Güvenliği ve Sunucuları Testinde, belirlenen domain ve subdomainler sonrasında OWASP TOP 10 standartına göre sızma testleri gerçekleştirilip, bulunan zafiyetler OWASP ve NIST uyumluluğuna göre raporlanır. Web uygulama testi White Box/Gray Box/Black Box olarak üçe ayrılmaktadır. Web uygulamalarında kullanıcı girişi mevcutsa kullanıcısız tarama dışında yetkili, yetkisiz kullanıcı profilleri ile de testler gerçekleştirilmektedir. Web uygulamaları üzerinden veritabanına ve sunuculara erişim ve yetki yükseltme ve kalıcılık sağlama saldırı hedeflerini oluşturmaktadır.
Mobil Uygulama Sızma Testi
Mobil uygulamalar yazılım dünyasında büyük bir yer kaplamaktadır. Mobil cihaz, ağ altyapıları, sunucular ve veri merkezlerindeki cihazlar ile etkileşime giren büyük bir ekosistemin parçasıdır. Dolayıysıyla mobil uygulamalarda karmaşık bir saldırı yüzeyi ortaya çıkar. Owasp Mobil top 10 baz alınarak statik ve dinamik testler gerçekleştirilerek hem mobil alt yapısında hem arka planda koşturulan servislerdeki zafiyetler tespit edilmeye çalışılır.
Sosyal Mühendislik Testleri
Sosyal Mühendislik Testi, hedef olarak belirlenen bir senaryo kapsamında kurum/firma çalışanları aranarak ve/veya oltalama maili gönderilerek kişinin gizli bilgilerini ifşa etmeye yönelik saldırılardır. Elde edilen kritik veri ile yatayda ilerlenerek (örneğin elde edilen mail kullanıcı adı veya parolası, domain ortamındaki bilgileri) elde edilen bilgi kapsamı arttırılmaya çalışılır.
Veri Tabanı Sızma Testi
Veritabanı Testinde, dışarı açık olan ve içerde bulunan veritabanları olarak test edilmektedir. Testler sunucu üzerinde koşan servislerin testi ve doğrudan veritabanının doğru yapılandırıldığının kontrolleri şeklinde ikiye ayrılmaktadır. Servislerin ve portların keşfi, güncelleme eksikliği, basit parola kullanımı keşfi gibi adımlar testler kapsamında gerçekleştirilmektedir.
Kablosuz Ağ Sızma Testi
Kablosuz ağlar, günümüzde birçok alanda kullanılmaktadır. Restorantlar, kafeler, kamu kurumları, teknoparklar, otobüsler gibi örnekler çoğaltılabilir. Dolayısıyla kablosuz ağların güvenli hale getirilmemesi kurumsal veya özel ağlara kolay bir giriş noktası haline gelmektedir. Saldırganlar kablosuz ağların güvenliğinde açıklıklar aramakta ve bazı yöntemleri kullanarak saldırı yapmaktadır. Saldırı başarılı olduğunda elde edilen bilgiler ile kurum ağına zarar verilmektedir.
Kablosuz ağ testlerinde; ağ üzerindeki veriler toplanır ve analiz edilir. Ayrıca hassas veri yakalamaya, yetkisiz erişim sağlamaya ve kablosuz ağların parolaları kırılmaya çalışılır. Captive portal, WPA Enterprise ve WPA2/WPA/WEP ağlarının trafiği taranarak güvenlik durumu belirlenir.
Turem Bilişim olarak, kablosuz ağ güvenliğini test etmeye yönelik gerekli donanımlar kullanılarak saldırılar gerçekleştirilir. Saldırı sonunda ayrıntılı zafiyet açıklaması, kuruma oluşturacağı etkiler, ekran görüntüleri, çözüm önerileri ve referans linkleri ile birlikte raporlanır.
DDOS Testi
Dağıtılmış Hizmet Reddi Saldırısı - Distributed Denial of Service(DDOS), hedeflenen Uygulama/Kurum/Servis sahte trafikle doldurarak hedeflenen kurumun veya hizmetin servis dışı kalması amaçlanır. DDoS saldırılarındaki yoğun trafik, birçok farklı kaynaktan gelmektedir.
DDoS Saldırısının Belirtileri Nelerdir?
Bir DDoS saldırısının tespitini yapabilmek için etkilenen web sitesinin performansındaki küçük bir eksiklikten tamamen bozulmasına kadar olan süredeki trafiğin saldırı türüne göre analiz edilmesi gerekmektedir. Bir web sitesinin DDoS saldırısı tarafından etkilendiğini tespit edebilmek için en yaygın belirtilerini bilmek her web yöneticisinin bilmesi gereken esaslardan biridir.
Bazı saldırı belirtileri;
Katmanlara göre DDOS Amacı
SCADA/EKS Zaafiyet Analizi ve Sızma Testi
VSCADA (Supervisory Control and Data Acquisition), endüstriyel ve altyapı süreçlerinin yanı sıra kritik makineleri izlemek ve kontrol etmek için kullanılan endüstriyel kontrol sistemidir.
SCADA sistemleri genellikle eski işletim sistemleri kullanmaktadır. Dolayısıyla birçok zafiyetten etkilenmektedir. Günümüzdeki şirketler, SCADA ağ segmentlerini internete bağlamaktadır. Kritik bir sistemin dış ağ ortamına açılması varolan zafiyetlerin kritiklik seviyesini arttırmaktadır. Genelde bir şeyleri bozma korkusuyla SCADA sistemlerine yama yapılmamaktadır. Bu sebepler saldırganların kolayca yararlanabileceği zafiyetler oluşturabilir.
EKS/Scada sızma testinden sonra kurum;