Ürünler & Çözümler

Bilgi Güvenliği Sızma ve Zafiyet Testleri



Zafiyet Analizi Nedir?

Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.


Sızma Testi Nedir?

Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Sızma Testi bu sorulara cevap bulunmasına yardımcı olur.



Sızma Testi Çeşitleri Nelerdir?

Aktif olarak gerçekleştirilen üç çeşit Sızma Testi vardır. Bunlar hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Belirtilen unsurlara bağlı kalarak firmaya/kuruma uygulanacak Sızma Testi farklılık göstermekte ve her biri farklı sorunların çözümüne yöneliktir.

    Internal Penetration Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar. External Penetration Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.
    Web Application Penetration Test: "External Penetration Test" ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.

Sızma Testi Yöntemleri Nelerdir?
    Blackbox: Bilgi Güvenliği Uzmanı'na testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
    Whitebox & Crystalbox: Bilgi Güvenliği Uzmanı'na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
    Graybox: 'Whitebox & Crystalbox' ile 'Blackbox' arasında olan bir Sızma Testi yöntemidir. Bilgi Güvenliği Uzmanı'na yapı ve/veya sistemler hakkında 'detaylı' bilgi verilmez.


(*) 'Whitebox & Crystalbox' ve 'Graybox' yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. 'Blackbox' yöntemi, "saldırgan gözüyle sistemlere 'sızılmaya' çalışılması" olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, 'Whitebox & Crystalbox' ve 'Graybox' daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.


Bu İşlemler Nasıl Gerçekleşir?

  • Adım1 Bilgi Toplama: Bu adımda; sistem üzerinde aktif bir tarama gerçekleştirilmez, sadece bilgi toplanır. Uygulama platformu, uygulama programlama dili, uygulama versiyonu, dahili/harici bağlantılar, sunucu platformu, işletim sistemi vb. bilgiler bu adımda tespit edilir.
  • Adım2 Tarama ve Sınıflandırma: Bu adımda; 'I. Adım'da toplanan bilgiler ışığında, hedef sistem üzerinde 'tarama' işlemi gerçekleştirilerek ve/veya sisteme yapılacak ufak etki-tepkilerle bilgi edinilir.
  • Adım3 Erişim Elde Etme: Bu adımda; 'II. Adım'da edinilen bilgiler ışığında, hedef sistem üzerinde tespit edilen zafiyetler(l)e erişim elde edilmeye çalışılır.
  • Adım4 Erişimi Yönetme: Bu adımda; 'III. Adım'da hedef sistem üzerindeki zafiyetler sayesinde elde edilen erişim hakları yönetilir (örneğin, sistem üzerinde elde edilen erişim haklarını kalıcı kılmak ve/veya sistem üzerinde yetkili bir kullanıcı oluşturmak).
  • Adım5 İz Gizleme: Bu adımda; hedef sistem üzerinde ilk dört adımda yapılan işlemlerin bıraktığı izler (log kaydı gibi) temizlenir veya kirletilir (APT-Advanced Persistent Threat)