Siber Güvenlik Danışmanlığı

Siber güvenlik alanında uzman kadromuzla kurumlara özel danışmanlık hizmetleri sunuyoruz.

Sızma Testi (Penetrasyon Test) Hizmeti
FİYAT TEKLİFİ

Sızma Testi (Penetrasyon Test) Hizmeti

Sızma testleri, penetrasyon testi olarak bilinen IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve siber güvenlik tehditlerini önceden tespit etmek için kullanılan bir danışmanlık hizmetidir. Sızma testi ile IT varlıklarının iletişimleri, bağlantıları ve bu varlıklar üzerindeki uygulamalar test edilerek, açıklıkların ortaya çıkartılması hedeflenir. Sızma testleri her bir varlık türüne göre önceden belirlenen senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek olan sızma testinin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihazları ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilir.

Pentest hizmeti olarak da bilinen sızma testleri, bilişim sistemlerindeki hataların ve zafiyetlerin ortaya çıkartılarak, söz konusu güvenlik açıklıklarının kötü niyetli siber saldırganlar tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacı ile, alanında uzman ve yetkili kişiler tarafından gerçekleştirilen siber güvenlik danışmanlık hizmetidir. Yapılan bu sızma testlerindeki amaç, zafiyetleri tespit etmekle beraber bu zafiyetler kullanılarak ilgili sistemde yetkili erişimlerin nasıl elde edilebileceğini ve nelerle sonuçlanabileceğini göstermektir.

Sızma Testlerinde Uygulanan Yaklaşımlar

Ulusal Metadolojik Yaklaşımlar

  • TSE (TS-13638)
  • Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
  • Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi

Uluslararası Metadolojik Yaklaşımlar

  • NIST 800-115
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • ISSAF (Information Systems Security Assessment Framework)
  • OWASP Testing Guide
  • SCADA Methodology

Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan üç ana yöntem kullanılarak testler uygulanır.

  1. Siyah Kutu (Black Box): Bu yaklaşımda, sızma testi yapılacak sistemlerle ilgili herhangi bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir. Siyah kutu testi ile test ekibinin sistem hakkında herhangi bir bilgisi olmayacağından, yanlışlıkla sisteme zarar verme ihtimalleri bulunmaktadır. Aynı zamanda bilgi toplama safhası uzun bir süreçi beraberinde getirir.
  2. Gri Kutu (Gray Box): Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi birçok bilgi güvenlik testi yapacak ekibe önceden sağlanır. Black Box yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
  3. Beyaz Kutu (White Box): Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski yok denecek kadar azaltılmış olur.

Sızma (Penetrasyon) Testi Metadolojisi

Sızma Testi MetadolojisiPrivia tarafından periyodik olarak gerçekleştirilecek sızma testleri sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir. Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir.

 

Sızma Testlerinin Gerçekleştirilmesi

Sızma testi, daha önce Müşteri ile yapılan “Sızma Testi Başlangıç Toplantısı”nda belirlenen senaryo dahilinde gerçekleştirilir. IT varlıklarına yönelik sızma testi aşağıdaki tüm başlıkları kapsayacak şekilde ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilir.

  • Web Uygulamaları Sızma Testleri
  • Etki Alanı Sızma Testleri
  • İstemci Taraflı Sızma Testleri
  • Veritabanı Sızma Testleri
  • Network Sızma Testleri
  • E-Posta – DNS Servisleri Sızma Testleri
  • Kablosuz Ağ Sızma Testleri
  • Servis Engelleme (DDoS) Testleri
  • Sosyal Mühendislik ve Hedef Odaklı (APT) Sızma Testleri
  • Güvenlik Duvarı Atlatma Testleri
  • URL, İçerik Filtreleme ve Spam Gateway Ürünleri Atlatma Testleri
  • Sanallaştırma Sistemleri Sızma Testleri
  • Cloud Sistemlere Yönelik Sızma Testleri
  • Bilgi Toplama (Footprinting)
  • Port Tarama – Servis Tespiti
  • Zafiyet Tarama (Zafiyet Tespiti)
  • Enumeration
  • Exploitation (Sızma)
  • Hak ve Yetki Yükseltme (Privilege Escalation)
  • Post Exploitation (Sızıntı Sonrası)
  • Yapılan İşlemleri Geriye Alma
  • Raporlama

Zafiyet Seviyelendirmesi

Sızma testi esnasında tespit edilen zafiyetler, sistemin güvenliğini tehdit ediş boyutları göz önünde bulundurularak seviyelendirilmiştir. Zafiyetlerin seviyelendirilmesinde aşağıdaki 5 seviye kullanılmıştır. Her bir seviye için gerekli açıklama ve zafiyet-seviye ilişkileri örneklerle aşağıdaki tabloda ele alınmıştır.

Bilgi Toplama Evresi

Bilgi toplama, kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir. İnternet üzerinden teknik (whois/dns sorguları) ve teknik olmayan (arama motorları, haber grupları, e-posta listeleri sosyal ağlar vb.) yöntemler kullanılarak, hedef kurum veya sistem hakkında bilgi elde edilebilir. Bu safhanın amacı mümkün olan her saldırı yolunu keşfederek hedef ve uygulamaların kapsamlı bir görünümünü elde etmektir. Bu sayede hedef üzerinde bilgi güvenliğiyle ilgili her vektörün test edilebilmesine olanak sağlanır. Bu adım metodolojinin genellikle göz ardı edilen ilk ve en önemli adımlarından biridir. Bu evrede elde edilen veriler kullanılarak, diğer tüm aşamalarda olabildiğince kapsamlı testler gerçekleştirerek ilerleme sağlanır. Bilgi Toplama Evresi 2 ayrı bölümden oluşmaktadır.

Pasif Bilgi Toplama

Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilmeden, hedef sistemler hakkında arama motorları vasıtasıyla bilgi toplanan evredir. Bu evrede Whois bilgileri, DNS kayıtları, kurum çalışanlarının mail adresleri gibi sızma testine yön veren bilgiler elde edilir. Bu evrede elde edilen bilgiler, sonraki evrelere yön verir.

Aktif Bilgi Toplama

Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilerek, hedef sistemler hakkında bilgi toplanan evredir. Bu evrede uygulama keşfi, sunucu başlık bilgileri, sürüm tespiti, DNS brute-force gibi sızma testine yön veren bilgiler elde edilir. Bu evrede elde edilen bilgiler, sonraki evrelere yön verir.

Port Tarama

Bilgi Toplama Evresi’nin ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır. Bu evrede amaç; hedef sistemin muhtemel bir network topolojisinin üretmek ve network yapısında çalışan servislerin detaylandırılmasıdır. Bu aşamada, hedef sistem üzerinde port ve servis taraması, açık sistemlerin belirlenmesi, açık sistemler üzerindeki açık portların ve servislerin belirlenmesi, sistemler üzerinde hangi işletim sistemlerinin ve servislerin çalıştığının belirlenmesi, işletim sistemlerine, servislere ve uygulamalara ait versiyon bilgilerinin tespiti, sistemlerde kullanılan donanım/yazılımların ve versiyonlarının tespit edilmesi, Router, Firewall, IPS gibi ağ cihazlarının tespiti gerçekleştirilerek detaylı bir network haritası çıkarılır. Network haritalama bilgi toplama aşamasından elde edilen bilgilerin doğrulanmasına yardımcı olarak, hedef sistemler ile ilgili bir takım bilgilerin elde edilmesini sağlamaktadır.

Zafiyet Tarama Evresi

Hedef sisteme ait bilgi toplama ve port tarama – servis tespitinin ardından, elde edilen bilgiler değerlendirilerek zafiyet taraması gerçekleştirilir. Bu evrenin amacı, daha önceden elde edilen bilgileri kullanarak zafiyetlerin varlığını teknik olarak değerlendirmektir. Zafiyet tanımlaması; network, sunucular, uygulamalar ve diğer bileşenlerdeki zafiyetleri bulmak için elde edilen verileri, çıkarılan network topolojisini değerlendirerek gerçekleştirilen güvenlik denetimini bir adım ileriye taşır. Bu aşamada hedef sisteme zarar vermeyecek şekilde zafiyetleri tanımlamak ve tanımlanan zafiyetleri bilinen istismarlarla sömürmek için çeşitli otomatize zafiyet tarama araçları kullanarak, taramalar gerçekleştirilebilir. Zafiyet tarama araçlarının ayarları ön tanımlı olarak kullanılmamakta ve hedef sisteme göre konfigüre edilmektedir. Tarama sonuçları Sızma Testi Ekibi tarafından değerlendirilerek false positive ve false negatif sonuçlar elenmektedir. Zafiyet tanımlaması ve analizi sonucunda hedef sisteme sızma yolları ve senaryoları belirlenmektedir.

Enumeration Evresi

Bu evrede önceki adımlarda canlı olduğu tespit edilen sistemler üzerinde TCP/UDP port tarama işlemleri gerçekleştirilir. Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler “banner grabbing” olarak adlandırılan yöntem ile öğrenilir ve manuel testler ile bu bilgilerin doğruluğundan emin olunduktan sonra bu bilgiler ışığında zafiyet veritabanları taranır ve bilinen zafiyetler sonraki aşamalarda kullanılmak üzere not alınır.

Tespit edilen canlı sistemler içinde router, switch gibi aktif ağ cihazlarının yer alması durumunda bu cihazlar üzerinde çalışan işletim sistemleri, bu işletim sistemlerinin versiyonları, bu cihazlar üzerindeki servisler, yönlendirme protokolleri, yönetimsel amaçlı servisler ve versiyonları tespit edilmeye çalışılır ve bu bilgiler ışığında zafiyet veritabanında inceleme yapılarak sonraki aşamalarda kullanılmak üzere notlar alınır. Ayrıca bu cihazlar üzerinde koşan gereksiz servislerin, ön-tanımlı kullanıcı adı veya parola bilgilerinin ya da yönetim için kullanılan güvensiz protokollerin tespiti halinde, bu zafiyetler yapılandırma problemleri başlığı altında sızma testi raporuna yansıtılır.

Exploitation Evresi

Zafiyet Tarama ve Enumeration evlerinin ardından tespit edilen zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir. Hedef sistem üzerindeki güvenlik önlemleri aşılarak erişim elde edilmeye ve erişim mümkün olduğunda da (yani zafiyet sömürülebilir durumdaysa) bağlantı (reverse, bind) sağlanmaya çalışılır. Tespit edilen zafiyetlerin istismarı için uygun PoC kodları/araçları kullanılarak veya yazılarak, hedef sistemlere yönelik testler gerçekleştirilir. İstismar için kullanılacak olan exploit halka açık kaynaklardan elde edilmişse, hedef sistem üzerinde kullanılmadan önce klonlanmış ortamda test edilmekte ve hedef sisteme zarar verilecek işlemlerden kaçınılmaktadır.

Zafiyet Tarama evresinde elde edilen zayıflıklar bu evrede doğrulanır. Eğer exploitation işlemleri gerçekleştirilmezse tespit edilen zafiyetler false-positive olabileceğinden, tüm bulunan zafiyetlerin mümkün oldukça doğrulanması (exploitation) tavsiye edilmektedir.

Hak ve Yetki Yükseltme Evresi

Erişim kazanmak bir sızma testinin odak noktasını oluşturur. Tespit edilen zafiyetler istismar edilerek, hedef sistem üzerinde erişim elde edilmeye çalışılır. Erişim elde etmek için hedef sistem üzerinde tespit edilen servislerde kullanıcı adı/parola kombinasyonlarının keşfi, sistem hesaplarına yönelik boş veya varsayılan parolaların bulunması, kullanılan uygulama ve donanım cihazlarının varsayılan ayarlarda bulunması gibi zafiyetler istismar edilebilir. Hedef sisteme düşük yetkilerde olsa dahi olsa diğer sistemlere sıçramak için erişim sağlandıktan sonra hak ve yetki yükseltilmeye çalışılır. Hak ve yetki yükseltmek için erişilen hesap üzerinden çeşitli exploitler denenerek root, administrator, SYSTEM gibi yetkili kullanıcı profillerine geçilmeye çalışılır.

Post Exploitation Evresi

Bir sızma girişiminin belkide en önemli evrelerinden biri Post-Exploitation evresidir. İstismar sonrası safhasının amacı ele geçirilen sistemin değerinin belirlenmesi ve sistemin daha sonra kullanmak üzere denetiminin sürdürülmesidir. Sistemin değeri bu sistem üzerinde saklanmakta olan verilerin hassaslığı ve sistemin ağın ele geçirilmesi safhasında sağlayacağı fayda ile belirlenir. Bu safhada tarif edilen yöntemler sızma testi uzmanına, hassas verilerin belirlenmesi ve belgelenmesinde, konfigürasyon ayarlarının, iletişim kanallarının ve ağa daha ileri erişim elde etmek için kullanılabilecek olan diğer ağ aygıtlarıyla ilişkilerin belirlenmesinde ve daha sonraki bir zamanda sisteme erişimde kullanılabilecek bir ya da daha fazla yöntemin kurulmasında yardımcı olmayı amaçlar. Bu evrede hedef sisteme sızıldıktan sonra hedef sistem bir relay sunucu gibi kullanılır. Böylece ele geçirilen sistem üzerinden diğer sistemlere erişim denemeleri gerçekleştirilebilir. Ele geçirilen sistemde oturum açan kullanıcıların hesap bilgileri, geliştirilen yazılımlardaki gömülü parolalar elde edilerek, diğer sistemlere bu hesap bilgileriyle erişim sağlanır. Post-Exploitation evresinde en kritik sistemlerin (etki alanı, e-posta ve dns sunucuları gibi) yönetimlerinin ele geçirilmesi hedeflenir. Kritik sistemlerin ele geçirilmesinden sonra test süreci devam ettirilerek, diğer sistemlerdeki açıklıklar istismar edilerek, alternatif erişim yolları üzerinden kritik sistemler farklı yöntemlerle ele geçirilmeye çalışılır.

Yapılan İşlemleri Geriye Alma Evresi

Sızma testi sırasında birçok sistem üzerinde komutlar çalıştırılır ve yerel yada etki alanı hesapları oluşturulur. Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir. Sistemlerde oluşturulan ve geriye alınmayan işlemler, sistemin akışını bozarak başka riskler doğurabilir. Privia Sızma Testi Ekibi, gerçekleştirdiği tüm testlerde yapılan işlemleri geriye alarak, değiştirilen konfigürasyonların yada eklenen kullanıcıların hesaplarının silindiğine dair ekran görüntülerini (kanıt) nihai rapor içerisinde Müşteri’ya sunmaktadır.

Raporlama Evresi

Gerçekleştirilen güvenlik denetiminden sonra takip eden 20 (yirmi) iş günü içerisinde biri yönetici diğeri teknik olmak üzere hazırlanan iki rapor şifreli halde Müşteri sorumlu personeline e-posta ile teslim edilir. Müşteri tarafından yazılı olarak istenmesi durumunda raporun matbu hali, üzerine “Gizli” ibaresi vurulmuş kapalı bir zarf içerisinde teslim edilir.

Teslim edilecek rapor aşağıdakileri içerir;

  • Gerçekleştirilen güvenlik denetim çalışmasına ve bulgulara ilişkin yönetici özeti
  • Test sırasında tespit edilen zafiyetlerin kritiklik seviyelerini, hangi sistemlerde bu zafiyete rastlandığını gösteren ve zafiyeti ortadan kaldırmaya yönelik çözüm önerilerinin bulunduğu zafiyet kimlik kartları

Teslim edilecek raporların yanında zafiyetlerin giderilip giderilmediğinin takibini kolaylaştırmak adına tespit edilen zafiyetlerin ve bu zafiyetlerin bulunduğu sistemlerin bilgisinin yer aldığı bir Excel dokümanı kuruma verilir ve doğrulama denetiminde bu dokümandaki bilgiler baz alınır.

Sızma testi sırasında birçok sistem üzerinde komutlar çalıştırılır ve yerel yada etki alanı hesapları oluşturulur. Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir. Sistemlerde oluşturulan ve geriye alınmayan işlemler, sistemin akışını bozarak başka riskler doğurabilir. Privia Sızma Testi Ekibi, gerçekleştirdiği tüm testlerde yapılan işlemleri geriye alarak, değiştirilen konfigürasyonların yada eklenen kullanıcıların hesaplarının silindiğine dair ekran görüntülerini (kanıt) nihai rapor içerisinde Müşteri’ya sunmaktadır.

Sunum

Raporların tesliminden sonra istenmesi halinde kurum personeline, gerçekleştirilen sızma testine ilişkin özet mahiyetinde bir sunum yapılır. Bu sayede kurum personeli, sızma testini gerçekleştiren uzmanlarımızla test ile ilgili görüş alışverişinde bulunabilme imkânı kazanırlar.

Doğrulama Denetimi ve Kapanış

Sızma Testi raporunun teslimi ve sunumunun gerçekleştirilmesinin ardından Privia test ekibiyle Müşteri güvenlik ekibinin karşılıklı mutabık kalacakları bir tarihte, test ekibi tarafından tespit edilen zafiyetlerin Müşteri tarafından giderilip giderilmediği kontrol etmek adına bir doğrulama denetimi gerçekleştirilir. Doğrulama denetimi sonucunda yeniden ayrı bir rapor düzenlenmez, zafiyetlerin kapatılıp kapatılmadığına ilişkin bir excel hazırlanarak, kurum ile paylaşılır.

Kurumunuza özel sızma testleri fiyat teklifi için bizimle iletişime geçebilir ve uzmanlarımızdan bilgi alabilirsiniz. Sunmuş olduğumuz hizmetlerde değerli müşterilerimiz ile aramızda NDA anlaşması imzalayarak gizlilik ve veri güvenliği konusunda da ulusal ve uluslararası metodları kullandığımızı da hatırlatmak isteriz.

 

Hizmetimiz ile ilgili detaylı bilgi almak ve satış ekibimizin sizinle iletişime geçmesi için formu doldurunuz.