Sızma testi; güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amacıyla gerçekleştirilen atakları içeren faaliyetleri ifade eder. Bilgisayar ve ağ güvenliğini dışarıdan veya içeriden yapılan bir saldırı ile değerlendirme yöntemidir. Belirlenen sistemin veya ağın güvenlik açısından analiz edilmesi ve sistemin güvenlik açıklarının ve güvenlik boşluklarının bulunması, bu açıklardan faydalanılarak sistemlere sızılması sürecidir. Ancak otomatik tarama araçları ile gerçekleştirilen zafiyet taramaları bu testlerin bir aşamasıdır; Bu testler genellikle tam güvenlik denetimlerinin bir parçası olmakla beraber tek başına da yapılabilir.
Kimler Sızma Testi Yaptırmak Zorundadır?
Elektronik ticarette güven damgasına sahip olmak isteyen her işletme test yaptırmak zorundadır. Ayrıca kamu kurumları, her yıl belirli süre içerisinde ağ ve sistem altyapısı testleri ile web uygulamaları ve veri tabanları bu testlerini yaptırmak zorundadır.
Sızma Testi Çeşitleri
| Beyaz Kutu | Ağdaki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. |
| Siyah Kutu | Saldırı yapılacak ağ hakkında hiçbir bilgi sahibi olmadan dışarıdan ağa ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanmasını sağlar. |
| Gri Kutu | İç ağda bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. |
Sızma Testi Türleri
| Ağ ve sistem altyapısı sızma testleri | Hedef sistemin ağ ve sistem altyapısına yönelik gerçekleştirilen sızma testleridir. Yerel ağ sızma testleriİnternet sızma testleriGüvenlik duvarı sızma testleriSaldırı tespit ve/veya engelleme sistemleri sızma testleri |
| Web uygulamaları ve veritabanları sızma testleri | Hedef sistemde kullanılan platform ve geliştirme dillerinden bağımsız olarak gerçekleştirilen sızma testleridir. Yapılandırma yönetim testleriVeri doğrulama testleriHizmet aksatma testleriİş mantığı testleriOturum yönetimi testleriWeb hizmetleri testleriKimlik doğrulama testleriYetkilendirme testleriAjax testleri |
| Mobil uygulamalar sızma testleri | Akıllı telefon, tablet bilgisayar gibi sistemler ve bu sistemlerde çalışan uygulamalar üzerine yapılan sızma testleridir. |
| Kablosuz ağlar sızma testleri | Kablosuz ağları ve bu ağda yer alan cihazları hedef alan sızma testleridir. · Erişim Noktası (Access Point) cihazlarına yönelik testler Şifreleme kullanmayan sistemlere yönelik testler Şifreleme (WEP/WPA/WPA2) kullanan sistemlere yönelik testler Kablosuz ağa bağlı istemcilere yönelik testler |
| Endüstriyel kontrol sistemleri sızma testleri | Bir tesiste veya işletmede yer alan tüm ekipmanların merkezi denetleme kontrol ve veri toplama sistemlerine (SCADA) yönelik gerçekleştirilen sızma testleridir. |
| Hizmeti aksatma saldırıları (DoS/DDoS) | Hizmeti aksatma saldırıları bir sızma testi değildir. Syn Flood SaldırılarıACK Flood SaldırılarıFIN Flood SaldırılarıTCP Connection Flood SaldırılarıUDP Flood DDoS SaldırılarıICMP Flood DDoS SaldırılarıHTTP GET, POST Flood SaldırılarıDNS Flood DDoS SaldırılarıBotnet SimülasyonuRate Limiting, Karantina Özelliklerinin Test EdilmesiUygulamalara Özel DoS TestleriSSL, HTTPS DoS Testleri |
| Sosyal mühendislik sızma testleri | Sosyal Mühendislik testleri, çeşitli yöntemlerle kullanıcıları aldatmaya yönelik testlerdir. |
| Fiziksel sızma testleri | Önemli bir cihaza yerinde müdahale edilmesi olabileceği gibi cihazın bulunduğu konumdan başka bir konuma nakledilmesi de olabilir. |
Sızma Testi Aşamaları
Planlama, Uygulama ve Raporlama aşamalarını içerir.
Test öncesinde testi yaptıran kuruluş ile koordinasyon sağlanmalıdır. Bu koordinasyon bir sözleşme ve ekinde bir kapsam dokümanı ile belgelenmelidir. Kuruluş, firma ve testi gerçekleştirecek personel ile bir gizlilik sözleşmesi imzalamalıdır. İmzalanacak olan gizlilik sözleşmesi, İş sözleşmesi kapsamında bazı ek maddeler şeklinde de ele alınabilir fakat gizlilik için ayrı ve detaylı bir sözleşmenin imzalanması tavsiye edilir.
Uygulama aşamasında; bu testleri sekiz aşamada ele almak mümkündür.
1. Ön irtibat
2. Bilgi toplama
3. Tehdit modelleme
4. Zafiyet analizi
5. Sızma
6. Sızma Sonrası
7. Raporlama
8. Doğrulama Testi
Raporlama aşamasında tespit edilen açıklıklar ve zafiyetler ile alınması gereken tedbirler sızma testi raporunda belirtilir. Sızma Testi Raporu, yapılan güvenlik testlerinin sonuçlarının detaylı olarak aktarıldığı belgedir.
| Sızma Testi sonuç raporu en az olmak üzere aşağıdaki şartları sağlamalıdır. | Teknik Bilgiler bölümü olmalıdır. Aşağıdaki alt bölümleri içermesi tavsiye edilir. |
| Kapak SayfasıYönetici özeti. Aşağıdaki alt bölümleri içermesi tavsiye edilir: Genel Bilgiler Kapsam ve IP Adresleri Test Ekibi Genel Değerlendirme Genel Test Metodolojisi Risk Derecelendirme Genel Bulgular Tavsiye Özeti | GirişBilgi ToplamaAçıklık AnaliziKullanma / Açıklık OnayıKullanma Sonrası EtkiVarsa Diğer Testler (Sosyal Mühendislik/Fiziksel Sızma Testi/DoS/DDoS v.b.)Kullanılan Araçlar |
Bilişim Academy olarak, işletme ve kurumların ihtiyaçlarını önemsiyor, TSE sertifikalı uzman kadromuzla TSE standartlarında sızma testi hizmeti almanıza olanak sunuyoruz.
Kaynaklar:
- Elektronik Ticarette Güven Damgasi Hakkında Tebliğ
- TSE Sızma Testi Hizmeti Veren Personel ve Firmalar İçin Yetkilendirme Programı
