Sızma testi veya kalem testi, güvenlik açıklarından güvenli bir şekilde yararlanmaya çalışarak bir BT altyapısının güvenliğini değerlendirme girişimidir. Bu güvenlik açıkları işletim sistemlerinde, hizmetlerde ve uygulama kusurlarında, uygunsuz yapılandırmalarda veya riskli son kullanıcı davranışlarında bulunabilir. Bu tür değerlendirmeler, savunma mekanizmalarının etkinliğinin ve son kullanıcının güvenlik politikalarına bağlılığının doğrulanmasında da faydalıdır.
Penetrasyon testi, sunucuları, uç noktaları, web uygulamalarını, kablosuz ağları, ağ cihazlarını, mobil cihazları ve diğer potansiyel maruz kalma noktalarını sistematik olarak tehlikeye atmak için genellikle manuel veya otomatik teknolojiler kullanılarak gerçekleştirilir. Belirli bir sistemdeki güvenlik açıklarından başarıyla yararlanıldıktan sonra, test uzmanları, özellikle aşamalı olarak daha yüksek düzeyde güvenlik açıklığı elde etmeye ve ayrıcalık yükseltme yoluyla elektronik varlıklara ve bilgilere daha derin erişim sağlamaya çalışarak, diğer dahili kaynaklarda sonraki açıkları başlatmak için güvenliği ihlal edilmiş sistemi kullanmaya çalışabilirler.
Sızma testi yoluyla başarılı bir şekilde yararlanılan güvenlik açıklarıyla ilgili bilgiler toplanır ve bu profesyonellerin stratejik sonuçlar çıkarmasına ve ilgili iyileştirme çabalarına öncelik vermesine yardımcı olmak için BT ve ağ sistemi yöneticilerine sunulur.
Sızma testinin temel amacı, sistemlerin veya son kullanıcı güvenliğinin fizibilitesini ölçmek ve bu tür olayların ilgili kaynaklar veya operasyonlar üzerindeki ilgili sonuçlarını değerlendirmektir.
Sızma testini, birisinin evinize girip giremeyeceğini görmeye çalışmak olarak düşünmek faydalı olabilir. Etik bilgisayar korsanları olarak da bilinen sızma test cihazları, güvenlik açıklarına güvenli bir şekilde saldırmak, tanımlamak ve bunlardan yararlanmak için kontrollü bir ortam kullanarak BT altyapılarının güvenliğini değerlendirir. Pencereleri ve kapıları kontrol etmek yerine, zayıflıkları bulmak için sunucuları, ağları, web uygulamalarını, mobil cihazları ve diğer potansiyel giriş noktalarını test ederler.
Güvenlik açığı tarayıcıları, bir ortamı inceleyen ve tamamlandıktan sonra ortaya çıkarılan güvenlik açıkları hakkında bir rapor oluşturan otomatik araçlardır. Bu tarayıcılar genellikle bu güvenlik açıklarını, bilinen zayıf noktalar hakkında bilgi sağlayan CVE tanımlayıcılarını kullanarak listeler. Tarayıcılar binlerce güvenlik açığını ortaya çıkarabilir, bu nedenle daha fazla öncelik verilmesini gerektirecek kadar ciddi güvenlik açıkları olabilir. Ayrıca, bu puanlar her bir BT ortamının koşullarını hesaba katmaz. Penetrasyon testlerinin devreye girdiği yer burasıdır.
Güvenlik açığı tarayıcıları, bir kuruluşun BT altyapısında bulunan bilinen güvenlik açıklarını araştıran ve raporlayan değerli araçlardır. Bir güvenlik açığı tarayıcısı kullanmak , her kuruluşun yararlanabileceği basit ama kritik bir güvenlik uygulamasıdır. Bu taramalar, bir kuruluşa, ortamlarında bulunan potansiyel güvenlik zayıflıkları hakkında fikir vererek, karşılaşabilecekleri güvenlik tehditleri hakkında bir fikir verebilir.
Birçok kuruluş, her varlığın tam kapsamını aldıklarından emin olmak için birden fazla güvenlik açığı tarayıcısı kullanır ve eksiksiz bir resim oluşturur. Yıllar boyunca, birçok farklı seçenek ve özellik sağlayan birçok farklı tarayıcı geliştirildi.
Güvenlik açığı değerlendirmeleri, kalem testi yoluyla büyük ölçüde geliştirilebilir . Tarayıcılar binlerce güvenlik açığını ortaya çıkarabilir ve birçoğu bir güvenlik açığının CVSS derecesine göre düzeltmeye öncelik verir . Ancak, bu puanlar bir kuruluşun belirli kurulumunu hesaba katmaz.
Bir güvenlik açığı yalnızca orta düzeyde bir risk puanına sahip olabilir ancak diğer güvenlik açıklarına veya kaynaklara ulaşmak için bir pivot noktası olarak kullanılabilirse, kuruluş üzerinde önemli sonuçları olabilir. Dolayısıyla, “orta” bir güvenlik açığı, “ciddi” olarak derecelendirilen bir güvenlik açığı kadar hatta daha tehlikelide olabilir. Kalem testleri, ortamınıza erişim sağlamak için hangi güvenlik açıklarından gerçekten yararlanılabileceğini görerek hayati bir bağlam ekler.
Güvenlik açığı taramaları, hangi olası güvenlik zayıflıklarının mevcut olduğuna dair değerli bir resim sağlarken, penetrasyon testleri, güvenlik açıklarından ortamınıza erişmek için yararlanılıp yararlanılamayacağını görerek ek bağlam ekleyebilir. Kalem testleri, neyin en fazla risk oluşturduğuna dayalı olarak iyileştirme planlarına öncelik verilmesine de yardımcı olabilir.
Kalem testi, bir kuruluşun ağlarını, uygulamalarını, uç noktalarını ve kullanıcılarını, güvenlik kontrollerini atlatmaya ve korunan varlıklara yetkisiz veya ayrıcalıklı erişim elde etmeye yönelik harici veya dahili girişimlerden koruma yeteneğini değerlendirir.
Halk arasında kalem testi veya etik bilgisayar korsanlığı olarak bilinen bir sızma testi , bir bilgisayar sisteminde, sistemin güvenliğini değerlendirmek için gerçekleştirilen yetkili bir simüle edilmiş siber saldırıdır; bu, bir güvenlik açığı değerlendirmesiyle karıştırılmamalıdır. Test, yetkisiz tarafların sistemin özelliklerine ve verilerine erişme potansiyeli de dahil olmak üzere zayıflıkları (güvenlik açıkları olarak da adlandırılır) ve güçlü yönleri tam risk değerlendirmesi olarak tamamlar.
Süreç tipik olarak hedef sistemleri ve belirli bir hedefi tanımlar, ardından mevcut bilgileri gözden geçirir ve bu amaca ulaşmak için çeşitli yollar üstlenir. Sızma testi hedefi, beyaz bir kutu (testçiye önceden hangi arka plan ve sistem bilgilerinin sağlandığı hakkında) veya bir kara kutu (şirket adı dışında yalnızca temel bilgilerin (eğer varsa) sağlandığı) olabilir. Gri kutu sızma testi, ikisinin birleşimidir (hedefle ilgili sınırlı bilginin denetçiyle paylaşıldığı durumlarda). Bir sızma testi, bir sistemin saldırıya açık güvenlik açıklarını belirlemeye ve ne kadar savunmasız olduğunu tahmin etmeye yardımcı olabilir.
Sızma testinin ortaya çıkardığı güvenlik sorunları sistem sahibine bildirilmelidir. Sızma testi raporları ayrıca kuruluş üzerindeki olası etkileri değerlendirebilir ve riski azaltmak için karşı önlemler önerebilir.
Sızma testi şu şekilde tanımlamaktadır: “Bir BT sisteminin güvenliğinin bir kısmını veya tamamını ihlal etmeye çalışarak, bir rakibin kullanabileceği aynı araçları ve teknikleri kullanarak, bu sistemin güvenliği konusunda güvence elde etmek için kullanılan bir yöntemdir.”
Bir sızma testinin hedefleri, herhangi bir angajman için onaylanmış etkinliğin türüne bağlı olarak değişir; birincil hedef, kötü niyetli bir aktör tarafından kullanılabilecek güvenlik açıklarını bulmaya ve müşteriyi bu güvenlik açıkları hakkında önerilen azaltma stratejileriyle birlikte bilgilendirmeye odaklanmıştır.
Sızma testleri, tam güvenlik denetiminin bir bileşenidir . Örneğin, Ödeme Kartı Sektörü Veri Güvenliği Standardı , düzenli bir programda ve sistem değişikliklerinden sonra sızma testi gerektirir. Penetrasyon testi, NIST Risk Management Framework SP 800-53’te belirtildiği gibi risk değerlendirmelerini de destekleyebilir.
Sızma testleri yapmak için çeşitli standart çerçeveler ve metodolojiler mevcuttur. Bunlara Açık Kaynak Güvenlik Testi Metodolojisi El Kitabı (OSSTMM), Sızma Testi Yürütme Standardı (PTES), NIST Özel Yayını 800-115, Bilgi Sistemi Güvenlik Değerlendirme Çerçevesi (ISSAF) ve OWASP Test Kılavuzu dahildir.
Kusur hipotez metodolojisi, bir yazılım sistemindeki varsayımsal kusurların bir listesinin sistem için spesifikasyonların ve dokümantasyonun analizi yoluyla derlendiği bir sistem analizi ve penetrasyon tahmin tekniğidir .
Varsayımlanan kusurların listesi daha sonra, bir kusurun gerçekten var olduğuna dair tahmin edilen olasılık temelinde ve kontrol veya uzlaşma derecesinde ondan yararlanma kolaylığı temelinde önceliklendirilir. Öncelikli liste, sistemin gerçek testini yönlendirmek için kullanılır.
Kuruluşun amacına bağlı olarak, aşağıdakileri içeren farklı sızma testi türleri vardır:
Ağ (harici ve dahili),
Kablosuz,
Web Uygulaması,
Sosyal Mühendislik ve
İyileştirme Doğrulaması.
PENETRASYON TESTI AŞAMALARI
Sızma testi süreci, aşağıdaki beş aşamada basitleştirilebilir:
Keşif: Bir hedef sistem hakkında önemli bilgi toplama eylemi. Bu bilgi hedefe daha iyi saldırmak için kullanılabilir. Örneğin, bir sosyal mühendislik saldırısında kullanılabilecek verileri bulmak için açık kaynak arama motorları kullanılabilir .
Tarama: Saldırganın sistem hakkındaki bilgisini ilerletmek için teknik araçları kullanır. Örneğin, açık portları taramak için Nmap kullanılabilir.
Erişim kazanma: Saldırgan, keşif ve tarama aşamalarında toplanan verileri kullanarak hedeflenen sistemden yararlanmak için bir yük kullanabilir. Örneğin, Metasploit bilinen güvenlik açıklarına yönelik saldırıları otomatikleştirmek için kullanılabilir.
Erişimi sürdürmek: Erişimi sürdürmek, mümkün olduğunca fazla veri toplamak için hedef ortamda kalıcı olarak bulunmaya yönelik adımları atmayı gerektirir.
İzleri gizleme: Saldırgan, anonim kalmak için kurban sistemini, toplanan her türlü veriyi, günlük olaylarını tehlikeye atmaya dair her türlü izi temizlemelidir.
Saldırgan bir güvenlik açığından yararlandığında, diğer makinelere erişim kazanabilir, böylece süreç tekrarlanır, yani yeni güvenlik açıkları arar ve bunlardan yararlanmaya çalışır. Bu işleme döndürme denir.
Sızma testlerinin sonuçları, kullanılan standartlara ve metodolojilere bağlı olarak değişir.
Beş sızma testi standardı vardır:
Açık Kaynak Güvenlik Testi Metodolojisi El Kitabı (OSSTMM),
Açık Web Uygulama Güvenliği Projesi (OWASP),
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST00),
Bilgi Sistemi Güvenlik Değerlendirme Çerçevesi (ISSAF) ve
Sızma Test Metodolojileri ve Standartları (PTES).