Yazı dizisinin önceki bölümünde siber güvenlik ve bunun özelinde “sızma testi” konusunda farkındalık ve bilgi edinme hakkında çok sayıda olumlu gelişme olmasında rağmen halen “verimli bir sızma testi yaptırmak” konusunda iyileştirmelere ihtiyaç olduğu konusunda bir bilgilendirme yapılmıştı.
Konuyu başlangıç noktasından takip etmek isteyen okurlar “Verimli Bir Sızma Testi Yaptırmak: Yola Çıkarken” başlıklı yazıyı gözden geçirebilir.
Bu yazıda ise verimli bir sızma testi için kilit bir noktada bulunan “Planlama ve Kapsam Belirleme” kısmı ele alınacaktır.
Sızma testi başlangıcında yapılacak planlama ve kapsam belirleme çalışmasının bizzat testin kendisinden daha önemli olduğunu bile iddia edilebilir. Çünkü bu noktada yapılacak bir hata, doğru tespit edilmemiş bir kapsam, aslında daha en başından ileride sıkıntı çıkaracak güvenlik zafiyetlerinin gözden kaçması demektir.
Bu kapsamda dikkat edilmesi gereken noktalar aşağıdaki alt başlıklar halinde toparlanabilir.
Sızma testi sürecini yürütecek ekip doğru belirlenmelidir.
Özellikle kurumsal firmalarda işin doğası gereği “hizmet satın alma” işlerini “profesyonel satın alma ekibi” gerçekleştirir. Bu bağlamda sızma testi hizmetinin alımının da sıklıkla bu ekiplerce gerçekleştiği görülür.
Oysaki sızma testi hizmeti sıradan bir çalışma olmayıp kurumların bekasını belirleme vasfını taşıyan çok kritik bir hizmettir. Burada yapılacak bir eksikliğin faturası satın alma işinde kaybedilecek bir miktar maddi zarardan ibaret değildir. Bu noktada satın alma ekibi tüm iyi niyeti ve uzmanlığı ile hareket etse de, doğal olarak siber güvenlik ve sızma testi konusuna uzak olduğundan bazı konuları atlaması veya süreci hizmet veren tarafın inisiyatifine bırakması söz konusu olabilir.
Bu konunun çözümü için, sızma testi amacıyla harekete geçildiğinde en başta kurumun ilgili departmanlarından oluşan uzmanlardan bir ekip kurulması veya kurumun kapasitesine göre ilgili departmanların çalışmalarına hakim kişi bir kişi tarafından sürecin yönetilmesi gerekmektedir.
Gerçekçi bir bütçe planlanmalıdır.
Finansal kısıtlar birçok konuda olduğu gibi sızma testi süreçlerinde de önemli bir parametredir. Ancak, bütçe kısma adına; test kapsamından veya kalitesinden fedakarlık edildiği takdirde ileride güvenlik zafiyetleri kaynaklı sıkıntılar yaşanması ve bunları toparlamak adına başlangıçta edilen tasarruftan kat kat fazlasının harcanması gerekebilir. Maalesef siber güvenlik jargonunda “musibet based security” olarak adı bile konmuş bu durumun gerçekleştiğine sıklıkla tanık olmaktayız.
Dolayısıyla sadece ekonomik bir bütçe oluşturmak adına test kapsamı ve kalitesinden feragat edilmemelidir.
Varlıklarının farkında olunması gerekir.
Sızma testi sürecinde en yaygın yaşanan sıkıntılardan biri hizmet alan tarafın teste tabi tutacağı varlıkları tespit etmede eksiklik yaşamasıdır.
Burada en yaygın yaşanan problemlerden birinin kurumların sahip oldukları varlıkların envanterini doğru ve güncel bir şekilde tutmamasından kaynaklandığı gözlemlenmektedir.
Bir diğer önemli sorun ise, söz konusu varlıkların hangilerinin teste dahil edileceği konusunda yaşanan bilgi ve deneyim eksikliğidir.
Buna bağlı olarak; uygulama, sistem ve hatta çalışan bazında varlıklar tespit edilip test yapacak tarafa sunulamazsa, dünyanın en iyi uzmanı da gelse yapabileceği sadece verilen kapsam için güzel bir test yapmaktan ibaret olur.
Kapsam dışı kalan uygulama ve sistemlerden kaynaklı zafiyetler ise, içerdikleri muhtemel zafiyetler nedeni ile potansiyel risk kaynağı olarak ileride kurumu sıkıntıya sokacaktır.
Bu problemi yaşamamak için Bilgi Güvenliği Yönetim Sistemi kapsamında düzgün bir envanter yönetimi yapmak ve gerekirse kapsamı belirlerken deneyimli kişilerden yardım almak faydalı olacaktır.
Ucu açık kapsamlar cazip görünmekle beraber önemli riskler içerir.
Sızma testi yaptıran taraflar kendilerince haklı olarak mümkün olan en geniş kapsamda kendi varlıklarını test ettirmek isterler. Buna ek olarak muhtemelen kendi iş yoğunlukları nedeniyle varlıkları tespit etmek, analiz etmek şeklinde kapsam üzerine kafa yormak istemeyebilirler.
Bunun yerine “ne bulursanız bakın” diyerek sorumluluğu test yapan tarafa atmak cazip gelir.
Ancak kapsamın ucunun açık ve belirsiz olması, müşteri için görece olarak daha kritik varlıkların gerekli önemi görmemesine, hatta bazen gözden kaçmasına neden olabilir. Dolayısıyla eğer test yaptıran taraf olarak düzenli olarak önemli varlıklarımızı test ettirmiyor ise ilk testte bu varlıklarını özellikle kapsam olarak belirtip odaklı test yaptırmasında fayda vardır.
Bunların akabinde, ucu açık “ne bulursanız test edin” mantığı ile test yaptırılabilir. Hatta Red Team operasyonları bile tercih edilebilir. (Red Team operasyonlarının ileride bağımsız bir yazı olarak anlatılması planlanmaktadır.)
Kaldırılması düşünülen ve atıl kalmış sistemler ciddi sıkıntılar doğurur.
Sızma testi süreçlerinde en çok karşılaşılan durumlardan biri, varlık sahiplerinin kısa gelecekte kullanım dışı yapmayı düşündükleri uygulama veya sistemler üzerinde zafiyetlerin çıkması ve buradan sistemin genelinin başarısız olmasıdır. Bu varlıklar önemsemedikleri için çoğu zaman güvenlik yamaları yapılmamakta ve güvenlikleri zayıf kalmaktadır.
Testlerde sistemin bu şekilde açık vermesi testi yaptıran taraf adına “can sıkıcı” olabilir.
Ancak bundan çok daha kötü olan bu varlıkların hiç kapsama alınmamaları ve sonrasında buradan kaynaklı zafiyetler nedeni ile kurumların ciddi sıkıntılar yaşamalarıdır.
Bu kapsamda, söz konusu varlıkların tamamen sistemlerden çıkarılması söz konusu olmadığı müddetçe envanter üzerinden takip edilmeleri ve test kapsamına alınmaları gerekir.
Zafiyet Taraması ile Sızma Testi farkının bilinmesi ve ona göre aksiyon alınması gerekir.
Aslında iki çalışma arasındaki fark yaygın olarak bilinmektedir. Ancak özellikle hizmet alan taraflarca bu kavramların söz de ve pratikte birbiri yerine kullanıldığı tecrübelerle görülmektedir. Bunun daha ötesinde hizmet alan tarafların kimi tedarikçilerle bu fark üzerinden yanıltıldığı da sıkça görülen bir vakadır.
Bu nedenle hatırlama açısından farkın yeniden kısaca özetlenmesi faydalı olacaktır.
Zafiyet Taraması, otomatize araçlarla yapılan hızlı kontrolleri içerir
Sızma Testi ise zafiyet taramasına ek olarak tarama sonuçlarının doğrulanması, bulunan zafiyetlerin istismarı ile sistemler üzerinde yeni analizler ile farklı zafiyetlerin tespit edilmesi ve ayrıca iş mantığı kaynaklı zafiyetlerin incelenmesini içerir.
Görüldüğü gibi Zafiyet Taraması en temelde basit ve ekonomiktir. Sızma testi ise daha fazla efor gerektirmekte olup görece olarak pahalıdır.
Bu noktada tüm sistemler için zafiyet taramasının yetersiz olduğu ve sürekli sızma testi yapılması gerektiği sonucu çıkarılmamalıdır. Varlık sahibi olarak, varlığın değerine göre pekala bazı sistemler için sadece zafiyet taraması ile yetinilebilir.
Burada kritik olan hizmeti alan taraf olarak yapılan çalışmanın farkında olunması gereğidir. Bu kapsamda sadece ekonomik göründüğü için tarama hizmeti alıp sızma testi hizmeti alındığını zannetme yanılgısına düşülmemelidir.
Kapsam için düzgün bir risk analizi ile önceliklendirme yapılmalıdır.
İdeal olarak beklenen, kurumların tüm varlıkları için detaylı sızma testi çalışması yaptırmasıdır. Ancak bu doğal olarak kuruma bir maddi külfet getirecektir.
Bu noktada bazı varlıklar için detaylı test yaptırırken bazıları için otomatize zafiyet taraması ile yetinebilir. Bu noktada tercih yapılırken rastgele değil varlıklar için risk analizi yapılarak karar verilmelidir.
İhtiyaç dışı veya geçerli olmayan kalemler kapsama eklenmemelidir.
Sızma testlerinde kapsam belirleme sürecinde karşılaşılan diğer bir sorun hizmet alan taraflarca test edilmesi mümkün veya makul olmayan kalemlerin test kapsamına alınmasıdır. Örneğin dışa açık hiçbir sistemi olmayan bir firmanın DDOS hizmet kalemi satın alması gibi. Benzer şekilde sistemleri için DDOS koruma hizmeti almayan bir yine DDOS hizmet kalemi satın alması gibi.
Sonuç olarak, yalnızca eksiklik değil, ekonomik yük oluşturacak gereksiz fazlalıktan da kaçınılması gerekir.