Siber Güvenlik
Siber Güvenlik
Sızma (Penetrasyon) Testi, bir sisteme, ağa, ekipmana ya da başka bir tesise yapılan saldırıların, sistemin ya da “hedefin” gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan sistem ve ağ güvenliğinin belirlenmesinde bir değerlendirme yöntemidir.
Sızma Testi metodolojileri çeşitli topluluklar, ilgili kurum ve kuruluşlar tarafından güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretilmesi için oluşturulmuş ve genel kabul görülmüş standartlardır.
Ülkemizde Türk Standartları Enstitüsü TS-13638 uyarınca Sızma Testi Standartları belirlenmiş olup, globalde NIST-SP800-115, PTES, OSSTMM ve OWASP gibi standartlar üzerinden sızma testi ve güvenlik denetimleri metodolojik yaklaşımları temellendirilmiştir. Gais Cyber Security olarak yerel ve global standartlar ölçeğinde hizmetlerimizi sizlere ulaştırıyoruz.
Sızma testleri, BDDK, EPDK, PCI-DSS, ISO 27001, Güven Damgası, KVKK gibi çeşitli güvenlik denetimlerinin bir parçası olmakla beraber hem periyodik olarak hem de sistem değişikliklerinden sonra zorunlu olarak yapılması gereken testlerdir.
Sızma testi bir bilişim sisteminin check-up’ı olarak düşünülebilir, yılda bir kez yapılması önerilen sızma testi ile firmanın açıkları tespit edilir.
Sızma Testi Aşamaları
1. Bilgi Toplama
Bilgi toplama kapsamlı bir güvenlik değerlendirmesi yapabilmek için hedef hakkında olası tüm bilgileri toplamak için kullanılan evredir. İnternet üzerinden teknik (whois/dns sorguları) ve teknik olmayan (arama motorları, haber grupları, e-posta listeleri sosyal ağlar vb.) yöntemler kullanılarak, hedef şirket veya sistem hakkında bilgi sağlanabilir. Bu safhanın amacı mümkün olan her saldırı yolunu keşfederek hedef ve uygulamalarının kapsamlı bir görünümünü elde etmektir. Bu sayede hedef üzerinde bilgi güvenliğiyle ilgili her vektörün test edilebilmesine olanak sağlanır. Bu adım metodolojinin genellikle göz ardı edilen ilk ve en önemli adımlarından biridir. Diğer tüm aşamalarda olabildiğince kapsamlı ilerlenmesini sağlar.
2. Network Haritalama
Birinci bölümün ardından hedefle ilgili tüm olası bilgiler edinildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır. Network haritalama aktif bir bilgi toplama aşamasıdır. Bu evrede amaç; hedef sistemin muhtemel bir network topolojisinin üretmek ve network yapısının detaylandırılmasıdır. Bu aşamada; hedef sistem üzerinde port ve servis taraması, açık sistemlerin belirlenmesi, açık sistemler üzerindeki açık portların ve servislerin belirlenmesi, sistemler üzerinde hangi işletim sistemlerinin ve servislerin çalıştığının belirlenmesi, işletim sistemlerine, servislere ve uygulamalara ait versiyon bilgilerinin tespiti, sistemlerde kullanılan donanım/yazılımların ve versiyonlarının tespit edilmesi, Router, Firewall, IPS gibi ağ cihazlarının tespiti gerçekleştirilerek detaylı bir network haritası çıkarılır. Network haritalama bilgi toplama aşamasından elde edilen bilgilerin doğrulanmasına yardımcı olarak, hedef sistemler ile ilgili bazı bilgi elde edilmesini sağlayacaktır.
3. Sınıflandırma
Bu aşamada bir önceki adımda canlı olduğu tespit edilen sistemler üzerinde TCP/UDP port tarama işlemi gerçekleştirilir. Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler “banner grabbing” olarak adlandırılan yöntem ile öğrenilir ve manuel testler ile bu bilgilerin doğruluğundan emin olunduktan sonra bu bilgiler ışığında zafiyet veritabanları taranır ve bilinen zafiyetler sonraki aşamalarda kullanılmak üzere not alınır.
Tespit edilen canlı sistemler içinde router, switch gibi aktif ağ cihazlarının yer alması durumunda bu cihazlar üzerinde çalışan işletim sistemleri, bu işletim sistemlerinin versiyonları, bu cihazlar üzerindeki servisler, yönlendirme protokolleri, yönetimsel amaçlı servisler ve versiyonları tespit edilmeye çalışılır ve bu bilgiler ışığında zafiyet veritabanında inceleme yapılarak sonraki aşamalarda kullanılmak üzere not alınır. Ayrıca bu cihazlar üzerinde koşan gereksiz servislerin, ön-tanımlı kullanıcı adı veya şifre bilgilerinin ya da yönetim için kullanılan güvensiz protokollerin tespiti halinde bu zafiyetler yapılandırma problemleri başlığı altında rapora yansıtılır.
4. Zafiyet Tespiti
Hedef sisteme ait bilgi toplama ve network haritasının çıkarılmasının ardından, elde edilen bilgiler değerlendirilerek zafiyet analizi gerçekleştirilir. Bu aşamanın amacı, daha önce elde edilen bilgileri kullanarak zafiyetlerin varlığını teknik olarak değerlendirmektir. Zafiyet tanımlaması; network, sunucular, uygulamalar ve diğer bileşenlerdeki zafiyetleri bulmak için elde edilen verileri, çıkarılan network topolojisini değerlendirerek gerçekleştirilen güvenlik denetimini bir adım ileriye taşır. Bu aşamada hedef sisteme zarar vermeyecek şekilde zafiyetleri tanımlamak ve tanımlanan zafiyetleri bilinen istismarlarla sömürmek için çeşitli otomatize zafiyet tarama araçlarıyla taramalar gerçekleştirilebilir. Zafiyet tarama araçlarının ayarları ön tanımlı olarak kullanılmamakta ve hedef sisteme göre konfigüre edilmektedir. Tarama sonuçları Sızma Testi Uzmanı tarafından değerlendirilerek false positive ve false negatif sonuçlar elenmektedir. Zafiyet tanımlaması ve analizi sonucunda hedef sisteme sızma yolları ve senaryoları belirlenmektedir.
5. Hak Elde Etme
Zafiyet analizi sonrası tanımlanan zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir. Hedef sistem üzerindeki güvenlik önlemlerini aşılarak erişim elde edilmeye ve erişim mümkün olduğunca bağlantı (reverse, bind) sağlanmaya çalışılır. Tanımlanan zafiyetlerin istismarı için uygun PoC kodları/araçları kullanılarak veya yazılarak hedef sistem üzerinden testler gerçekleştirilir. İstismar için kullanılacak olan exploit halka açık kaynaklardan elde edilmişse hedef sistem üzerinde kullanılmadan önce klonlanmış ortamında test edilmekte ve hedef sisteme zarar verilecek işlemlerden kaçınılmaktadır.
Sızma Testi Türleri
Kablosuz Ağ (WiFi) Sızma Testi Süreci
Rogue Access point’ler olup olmadığı kontrol edilir..
Kablosuz ağda kullanılan şifreleme yöntemleri belirlenip, bu ağa bağlı mobil cihazlar bulunur ve kablosuz ağa bağlı sistemler üzerinden bilgi toplama çalışmaları yapılır.
Access Point cihazı IP adresi araştırılır, bu cihazın yönetim ara birimine yönelik güvenlik testleri ve kimlik doğrulama (open / shared) denetimleri yapılır.
Ağa bağlı istemcilerin IP adresleri ve işletim istemleri belirlenir.
MAC adresi filtreleme belirlenir, MAC adres filtreleme özelliğini atlama ve Hotspot atlatma testleri yapılır.
Authentication token hijacking yapılır.
Monitor modda ağa bağlı istemcilerin trafiğini izleme (client isolation mode ) testleri, ağa bağlı istemcilere yönelik MITM testleri ve ağa bağlı istemcilerin sistemlerini ele geçirme ( fake upgrade ) testleri gerçekleştirilir.
Ağa bağlı istemcilerden WEP / WPA anahtarı alma denemeleri yapılır.
WPA / WPA2 anahtarı elde etme girişimleri denetlenir.
WEP anahtarı kırma için trafik toplama ve istemcinin bağlantısı olmayan WEP ağlarda trafik üretimi yapılır.
WEP / WPA / WPA2 anahtarı kırma testleri yapılır.
MAC koruması aşma testleri, WPA cracking için hadshake mesajlarını yakalama denemesi yapılır.
WPS destekli kablosuz ağlara yönelik keşif çalışmaları yapılır ve PIN numarası testleri gerçekleştirilir.
WPS kullanılan Access Pointlere ait WPA anahtarı kırma denenir.
Sahte bağlantı istekleri göndererek bağlantı limitleri zorlanır.
Wifi kullancılarına ait hassas bilgilerin elde edilmesi denenir.
Ağa bağlı kablosuz istemcilere de-authentication saldırıları ve de-assicate saldırıları gerçekleştirilir.
Yapılan araştırmalar, dünya çapında 5,19 milyardan fazla insanın cep telefonu kullandığını ve kullanıcı sayısının son bir yıl içinde 124 milyon (% 2,4) arttığını göstermektedir.
Mobil uygulamalar içerisinde kredi kartı verilerinden tıbbi verilere kadar bir çok hassas bilgi saklanmaktadır ve işlenmektedir.
Kullanıcı sayısının artışı ile beraber uygulama ve uygulama içerisindeki modüller saldırganların hedefi haline gelmiştir.
Bu test ile mobil uygulamadaki zafiyetler tespit edilip raporlanarak uygulamaya özel olarak sızma testi gerçekleştirilir.
Test edilen sistemler arasında iç ağda bulunan sunucu ve istemci bilgisayarları haricinde; VPN sistemleri, içerik filtreleme sistemleri, yazıcılar, parmak izi okuyucu cihazlar, kartlı geçiş sistemleri, kameralar vb. ağ içerisinde karşılaşılabilecek tüm sistemler test edilmektedir.
Bununla birlikte kablosuz ağ sızma testleri, son kullanıcı bilgisayar testleri, güvenlik ürünleri yapılandırma testleri de kapsam dahilindedir.
Hizmeti alacak kurumun koşulları göz önünde bulundurularak SPK, BDDK, EPDK uyumlu sızma testleri ve raporlama süreçleri gerçekleştirilebilmektedir.
Yine kurumun talebine göre yeni COVID-19 normallerine uygun olarak, kurumun tahsis ettiği VPN servisi ile kurum içerisinde fiziksel olarak bulunmadan iç ağ testleri gerçekleştirilebilir.
Dış ağ sızma testi kurumların dışarıdan erişilebilen envanteri üzerinde yapılan global standartlara uygun gerçekleştirilen testleri içerir.
Dış envanter kapsamında web uygulamaları, mobil uygulamalar, diğer hizmetler ve bu hizmetlerin kurulu olduğu dışarıya açık sunucular gibi dışarıya açık tüm envanterler üzerinde testler yapılır.
Yine kurum ile belirlenen kapsam sonucunda yukarıda belirtilen testlerin yanında Sosyal Mühendislik ve Stres Testleri de gerçekleştirilmektedir.
Saldırganlar altyapılar üzerindeki zafiyetleri sömürerek kurumu mali zarara uğratabilirler.
Gais Cyber Security Red Team ekibi ödeme altyapıları üzerinde BDDK ve SPK uyumlu bir şekilde güvenlik testlerini gerçekleştirir. Testler sırasında altyapı üzerinde fiyat manipülasyonu, altyapıya müdahale gibi önemli konu başlıklarının da aralarında olduğu özel bir kapsam listesi ile güvenlik testleri gerçekleştirilir.
