BİR ŞİRKETİN SİSTEMLERİ KASITLI OLARAK SİBER SALDIRIYA UĞRADIĞI GİBİ DEPREM, YANGIN GİBİ DOĞAL AFETLERDEN KAYNAKLI DA ZARAR GÖREBİLİR. AYRICA SİBER SALDIRILARIN GENELLİKLE ŞİRKET DIŞINDAN GELECEĞİ DÜŞÜNÜLSE DE ŞİRKET İÇİNDE DE YETKİSİNİ KÖTÜYE KULLANAN KİŞİLER TARAFINDAN VERİ GÜVENLİĞİ İHLAL EDİLEBİLİR. TÜM BU TEHDİTLERE KARŞI ÖNLEM ALMANIN YOLU İSE SİSTEMDEKİ GÜVENLİK AÇIKLARINI TESPİT ETMEK VE BU AÇIKLARI KAPATMAKTAN GEÇİYOR. “PEKİ, NASIL?” DİYORSANIZ SIZMA TESTİ KAVRAMI İLE TANIŞMA ZAMANI GELDİ.
Sızma testi, bir diğer adıyla penetrasyon testi, bilişim sistemlerini kontrol etmek ve varsa güvenlik açıklarını kapatmak amacıyla alınan bir siber güvenlik önlemidir. Genellikle şirketler tarafından tercih edilen bu testte şirketin kullandığı ağ ve buna bağlı olan tüm sistemler üzerinde siber saldırı simüle edilir. Böylelikle hedef sistemdeki güvenlik açıkları tespit edilerek sistemin güvenlik duvarları daha güçlü hale getirilir. Tabii ki tüm bu test süreci, bilişim alanında yetkili kurum ve kişiler tarafından yapılır. Sızma testinde yapılan siber saldırı, sistemlere zarar vermek için değil, tamamen sistemleri test etmek için uygulanır. Bunun amacı ise kurumları kötü niyetli kişiler tarafından yapılacak olası siber saldırılardan korumak ve kullanılan tüm sistemleri daha güvenli hale getirmektir.
SIZMA TESTİ ÇEŞİTLERİ NELER?
Siber tehditler farklı şekillerde karşımıza çıkabilir. Dış kaynaklı olduğu gibi işletmenin içinde de kasıtlı veya kasıtsız veri ihlalleri olabilir. Tüm bu ihtimaller göz önünde bulundurularak sızma testleri kendi içerisinde çeşitlenir. Uygulama hedefi ve testi yapan ekibe sistem altyapısı ile ilgili verilen bilgilere göre sızma testleri üçe ayrılır. • Black Box Test (Kara Kutu Testi): Bu penetrasyon testi, yapanlar için en zorlu testtir. Çünkü bu test senaryosunda testi yapanlar, tıpkı dışarıdan bir saldırı planlayan siber saldırganlar gibi sistem hakkında bir bilgiye sahip olmadan güvenlik duvarlarını ihlal etmeye çalışır. Böylece olası bir siber saldırının işletme üzerindeki etkisi daha net bir şekilde anlaşılır. Genellikle dış kaynaklı siber tehditlere karşı önlem almak için işletme sistemlerine bu test uygulanır. • White Box Test (Beyaz Kutu Testi): Bir işletmenin sistemine Beyaz Kutu testi uygulanacaksa test öncesi uygulama ekibine, işletme ağında bulunan tüm sistemler hakkında bilgi verilir. Böylelikle testi yapanlar sistemi tüm detaylarıyla tanıyarak sızma testini uygular. Kara Kutu testine göre daha kısa sürede tamamlanan bu test ile sistem hakkında bilgi sahibi olan kişilerin yapacağı ve şirket içinde gerçekleşecek güvenlik ihlalleri ortaya çıkarılır. Beyaz Kutu testinde hem uygulama ekibi hem de şirketteki güvenlik ekibi simüle edilmiş bir saldırının farkında olduğu için birbirleriyle paralel şekilde çalışabilir. Test sırasında uygulama ekibi iç kaynaklardan gelebilecek saldırıları simüle ederken şirketin siber güvenlik ekibi, bu saldırılara karşı anlık olarak savunma yapabilir. Bu süreçte şirketin savunma mekanizması da test edilir. • Grey Box Test (Gri Kutu Testi): Gri Kutu testi öncesi uygulama ekibine Beyaz Kutu testindeki gibi bilgi verilir. Ama Beyaz Kutu testindeki gibi işletme sistemiyle ilgili tüm bilgiler verilmez. Bilgiler, IP adresi, ağ özellikleri gibi sınırlı bir çerçevede iletilir. Gerekli bilgiler sağlandıktan sonra sistemler üzerinde kısıtlı bilgiye sahip bir kişinin yapabileceği saldırı test edilir. Güvenliğin zayıf olduğu alanlar tahmin ediliyorsa bu test ile güvenlik ihlalleri, Kara Kutu testinden daha pratik bir şekilde ortaya çıkarılır. Çünkü temel bilgilerin verildiği bu sızma testinde hedef odaklı bir yaklaşımla saldırı senaryosu oluşturulur.
SIZMA TESTİ NASIL YAPILIR?
Testin türüne göre güvenlik kontrolleri değişiklik gösterse de genel olarak tüm sızma testleri aynı aşamalarla uygulanır. Bu aşamaları ise şu şekilde sıralayabiliriz: • Sistem keşfi ve bilgi toplama, • Güvenlik açıklarını tarama ve tespit etme, • Sisteme sızma ve siber saldırının verdiği hasarın kapsamını çıkarma, • Sistem içerisinde erişim süresini ve kapasitesini analiz etme, • Raporlama. Tüm bu aşamalar tamamlandıktan sonra test sonucunda çıkan rapor, alınması gereken siber güvenlik önlemleri için yol gösterici olur. Raporda sistemdeki güvenlik açıkları çıkarıldığı gibi sistemde yer alan tüm kanalların da risk düzeyleri belirtilir. Böylelikle işletmeler tarafından veri güvenliğini üst düzeye çıkarmak için düzenlemeler ve iyileştirmeler yapılabilir. Ancak unutmayın, tek seferlik bir sızma testi sadece o anlık sistemdeki güvenlik açıklarını çıkarmaya yardımcı olur. Sistemde bir güncelleme olması durumunda yeniden güvenlik açıkları oluşabilir. Bu nedenle her güncelleme ve değişimde sistemin açıkları kontrol edilmeli ve güvenlik açıkları için önlem alınmalıdır.
