Sızma Testi Nedir?
Uygulama ve sistemler başta olmak üzere, kurumların bilgi güvenliğine yönelik saldırılara karşı dirençlerini ölçen temsili operasyonlardır.
Sızma testleri sayesinde kurumlar sahip oldukları varlıklara yönelik yapılacak saldırılara karşı risklerini önceden ölçmüş olurlar. Bu nedenle sızma testleri, kurumsal bilgi güvenliğinin sağlanmasındaki en önemli aşamalardan biridir.
Sızma testi operasyonlarındaki en büyük problemlerden biri bu çalışmaların başarı ölçütlerini ortaya koyacak net bir standardın olmamasıdır. Bu nedenle çoğu zaman hizmeti alan taraflar tedarikçilerin aynı hizmet (sızma testi) için sunduğu çok farklı maliyet seviyeleri ile karşılaşabilirler. Bu durum hizmeti alan tarafların kafalarının karışmasına ve sadece fiyat parametresine bakarak hatalı karar vermelerine neden olabilir.
Bu problemin aşılması için sağlıklı ve verimli bir sızma testi için dikkat edilmesi gereken noktaların bilinmesi önem arz etmektedir.
Aşağıda bununla alakalı özet bir bilgilendirme yapılmıştır.
Verimli Bir Sızma Testi İçin Dikkat Edilecek Noktalar?
Doğru Kapsam Belirleme
Verimli bir sızma testi için en kritik noktalardan biri doğru kapsamı belirlemektir. Zira kapsamda yapılacak bir hata testin en başından istenen verimi verememesine neden olabilir.
Örneğin; kurum için önemli bir varlık (IP, uygulama vb.) kapsam dışı kalırsa diğer varlıklar için başarılı bir test yapılsa da kapsam dışı kalan varlıktaki bir zafiyet tespit edilemez. Buna bağlı kurum güvenlik afiyeti yaşayabilir.
Bu nedenle sızma testi planı yapılırken kurum varlıklarından hangilerinin kapsama alındığına dikkat edilmelidir. Buna bağlı olarak tedarikçilerin tekliflerini toplarken hangi kapsam üzerinden bunu belirledikleri net olarak ortaya konmalıdır. Dolayısıyla tedarikçilerin tekliflerini de bu temel üzerinden karşılaştırmalıdır.
Test kapsamı genel olarak aşağıdaki başlılar üzerinden değerlendirilebilir.
- Dış Sistem/Ağ Testleri
- İç Sistem/Ağ Testleri
- Uygulama Testleri
- Web, mobil, API
- Sosyal Mühendislik Testleri
- DDOS Testleri
Doğru Test Yöntemi Belirleme
IT varlıkları üzerinde test yapılrıken uygulanacak metodoloji hem testin detay seviyesini hem de çalışma maliyetini ciddi oranda etkileyebilir.
Örneğin kimlik doğrulama ile erişilen bir web uygulamasına sadece dışarıdan (kimlik doğrulama yapmadan) test yapıldığında sadece dış saldırganlara yönelik bir test yapılmış olur. Bu testi alacağı iş gücü görece daha düşük kalır.
Ancak bu uygulama için bir de test ekibine bir kullanıcı hesabı verilir ve login sonrası yatayda ve dikeyde yetki aşımlarının kontrolü talep edilirse test farklı bir boyuta gider. Bu durumda hizmeti alan taraf, herhangi bir kullanıcısının köyü niyetli olması veya bir şekilde hesabını çaldırmasına karşılık uygulamanın dayanıklılığını da ölçen daha kapsamlı bir test yapmış olur. Ancak bu durumda test ekibi belki de normalde harcayacağı eforun birkaç katını harcamak durumunda kalır. Dolayısıyla işgücü ve maliyette ciddi oranda artabilir.
Bu yöntemlerden hangisinin doğru ve şart olduğuna dair genel bir hüküm vermek çok doğru değildir. Burada önemli olan hizmet alan kurumun bu durumun farkında olması ve risk analizi yaparak bilinçli bir şekilde uygun yöntemi seçmesidir.
Zafiyet Taraması ve Sızma Testi
Sızma testi süreçlerin sıklıkla “zafiyet taraması” ve “sızma testi” kavramları karıştırılmaktadır. Bu nedenler çoğu zaman “sızma testi” başlığı altında yalnızca “zafiyet taraması” hizmeti satın alıp bunu dikkatten kaçırabilmektedir. Zafiyet taraması sızma testine göre daha hızlı, düşük maliyetli ancak bununla beraber çözünürlüğü düşük bir çalışmadır.
Kurumların bu iki olgu arasındaki farkı iyi bilmeleri ve kendilerine sunulan teklifleri buna göre karşılaştırmaları önem arz etmektedir.
Güvenilir ve Referanslı Tedarikçi Bulma
Sızma testlerinde test ekipleri işleri gereği kurumların en hassas ve mahrem bilgilerine erişebilir. Bu nedenle her ne kadar gizlilik sözleşmeleri yapılsa da, sağlam referansları olan tedarikçilerin temin edilmesi kurumların güvenliği açısından önemlidir.
Teknik Yeterliği Yüksek Tedarikçi Bulma
Sızma testlerindeki standart eksikliği nedeniyle çok farklı tedarikçiden hizmet alınma imkanı doğmaktadır. Bu durum maliyet açısından hizmet alan tarafa avantaj sağlamayabilir. Ancak teknik yeterliliği yetersiz bir ekiple yapılmış test kurumun zafiyetlerini başarılı bir şekilde ortaya çıkaramaz. Bu durum kurumun ileride daha büyük problemleri yaşamasına neden olabilir. Bu nedenle hizmet alan taraflar tedarikçilerinin teknik yetkinliklerini dikkatlice sorgulamalıdır.
Bununla alakalı aşağıdaki noktalar referans olarak düşünülebilir
- Test ekibinin sahip olduğu sertifikalar
- Test ekibinin daha önce yaptığı projeler
- Test ekibinin daha önce görev aldığı kurumlar
Sağlıklı Bir Raporlama
Verimli bir sızma testi için olması gereken noktalardan biri test sonunda kapsamlı ve yeterli bir rapor sunulmasıdır.
Bir test raporunun en azından aşağıdaki içerikleri sağlaması gerekir.
- Teste dair temel bilgiler
- Test kapsamı
- Test ekibi sistem bilgileri
- Test türü
- Test metodolojisi
- Test süreci adımları
- Kullanıcı profilleri
- Erişim noktaları
- Bulgu risk seviyelendirme yaklaşımı
- Yönetici özeti
- Test hakkında genel değerlendirme
- Bulgu adetleri
- Bulgu risk seviyeleri
- Bulguların seviye, erişim noktası ve kategorilerine göre dağılımını gösteren anlaşılabilir grafiksel gösterimler
- Bulgu bilgileri
- Bulgu adları
- Bulgu seviyeleri
- Erişim noktası ve kullanıcı profilleri
- Bulguların varlığı ve istismarına dair kanıtlar
- Bulgu çözüm önerileri
- Bulgu çözümlerine dair literatürel referanslar
Yetkinlik ve Hizmet Sağlama
BTUYUM olarak; gerek kurumsal tecrübesi gerekse de uluslararası sertifikalara sahip danışman kadromuzla sizlere destek vermekteyiz.
Konu ile ilgili talepleriniz ve ek sorularınız için “[email protected]” adresinden bize ulaşabilirsiniz.
