BlackBox
1-) BlackBox Pentest (Siyah Kutu Penetrasyon Testi); Siyah kutu penetrasyon testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan networke ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanmasıdır.
WhiteBox
2-) WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi); Beyaz kutu penetrasyon testi network teki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden network e girmeye ve zarar vermeye çalışmasının saldırı simülasyonu’dur.
GrayBox
3-) GrayBox Pentest Gri kutu penetrasyon testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ..
Penetrasyon Testi / Pentest - Sızma Testi Adımları
Pentest öncesi işletme ile ön görüşme yapılarak penetrasyon testlerinin detayları konuşulur ve teklif verilir.
- Bilgi toplama
- Ağ haritalama
- Zayıflık tespiti
- Giriş sağlama ve yetki yükseltme
- Delil toplama
- Erişimi devam ettirme
- İzleri temizleme
Testler sonucunda müşteriye güvenlik açıkları ile ilgili detaylı rapor sunulur. Bu raporlar dilenirse uluslararası sertifikalar ile desteklenir.
Dış Ağ Güvenlik Testleri
A. DNS
. DNS Sunucunun belirlenmesi
. Zone Transferi Testleri
. DNS Bruteforce ile kayıtların okunması
. DNS Subdomain Tespiti
. DNS Cache zehirleme testleri
B. Kurum IP Bloklarının Tespiti
C. Kurum Whois Bilgisi Tespiti
D. E-Posta Testleri
. E-Posta Başlık Analizi
. Sahte E-Posta Erişim testleri
. E-Posta Sunucu Zayıflık testleri
. E-Posta hesapları şifre testleri
. E-Posta Sunucu Zararlı yazılım testleri
. SMTP Relay Testleri
. Blacklist Kontrolleri
E. İnternete Açık Sistemlerin Haritalanması
. İnternete açık servislerin tespit edilmesi
. Servislerin Zayıflıklarının testleri
. Servislere Şifre testleri
. Servislerin zayıflıklarının kullanılma testleri
F. Kurum Çalışanlarının Tespiti
G. Kurum Web Sitesi Bilgi Toplama
. E-Posta Başlık Analizi
. Sahte E-Posta Erişim testleri
. E-Posta Sunucu Zayıflık testleri
. E-Posta hesapları şifre testleri
. E-Posta Sunucu Zararlı yazılım testleri
H. Fiziksel Güvenlik Testleri
. Sunucu odası
. Çalışma alanları
. Network altyapısı
I. Sosyal Mühendislik Testleri
. Bilgisayar tabanlı sosyal mühendislik testleri
. İnsan tabanlı sosyal mühendislik testleri
. Phishing yöntemleri uygulama ve detaylı raporlama
I. Kablosuz Networke Sızma Testleri
. SSID Tespiti
. Şifreleme Türlerinin Tespit edilmesi
. Kablosuz Ağa bağlı istemcilerin tespit edilmesi
. Kablosuz Ağ Dinleme testleri
. WEP Şifrelemeye karşı şifre testlerinin yapılması
. WPA & WPA2 Şifrelemeye karşı şifre testleri
. WPA Enterprise Şifrelemeye karşı şifre testleri
. 802.1x Şifrelemeye karşı şifre testleri
. WPS Servis testleri
. Sahte Erişim noktası testleri
. Kablosuz Sinyal Bozma testleri
. Kurumsal servisler ile şifre güvenliği testleri
J. Dışarıya Açık Sistemlerin DOS Saldırılarına Karşı Testleri
. SYN Saldırısı
. ICMP DOS Saldırısı
. HTTP DOS Saldırısı – GET, POST
. DNS Dos Saldırısı
. UDP Dos Saldırısı
. Smurf Saldırısı
. DNS Yükseltilmiş Saldırılar
. Web Uygulaması Yüklenme Testleri
K. Web Yazılımlarının Testleri
. Veri girişi kontrolleri
. Çıktı kontrolleri
. Kimlik doğrulama testlerinin yapılması
. Oturum yönetimi ve yetkilendirme testleri
. Siteler arası betik çalıştırma (XSS) testleri
. SQL sokuşturma (SQL injection) testleri
. Komut sokuşturma testleri
. Hata yönetimi testlerinin yapılması
. CSRF Testleri
. WAF Tespiti
. WAF Atlatma testleri
İç Ağ Güvenlik Tesleri
A. Networkteki Sistemlerin Tespit Edilmesi
. Network haritasının çıkartılması.
. Networkte bulunan işletim sistemlerinin tespit edilmesi.
. Tespit edilen sistem ve cihazların rolleri.
. Aktif sistemler üzerindeki açık port ların tespit edilmesi.
. Bulunan açık portlar da çalışan servislerin tespiti.
B. Zayıflık Taraması
. Tespit edilen servis ve sistemlerin zayıflıklara karşı test edilmesi
. Tespit edilen zayıflıkların kullanılarak sisteme yetkisiz erişim sağlanması
C. IDS, IPS, Güvenlik Duvarı, İçerik Filtreleme & Benzer Güvenlik Uygulamalarının Test Edilmesi.
. İzinli ağ trafiğinin tespit edilmesi
. Filtreleme atlatma testleri
. Misafir erişim politikalarının kontrolleri
D. Kurum Güvenlik Politikaları Dâhilinde İnternet Erişimlerinin Güvenliğinin Kontrolü.
E. Anti Virüs & Anti Spam Yazılımlarının Kontrolü
F. Network Dinleme & Şifre Güvenliği Testleri
. Arp Zehirleme testleri
. Network Protokol kullanımı analizi
. Ağ trafiği içinden önemli verinin ayrıştırılması
. Oturum çalma testleri
G. Şifre Politikası Kontrolleri
H. Ekran Kilitlenme İlkesi Kontrolleri
I. Son Kullanıcı Testleri
. Yetki Yükseltme Testleri
. Usb ve CD Kullanım Politikası
. Boot kontrolleri
. Filtreleme aşma testleri
. Kullanım alanları şifre tespiti
İ. Dosya Erişim & Kontrolleri
. Yetkisiz erişim kontrolleri
J. Veri Tabanı Sunucu Testleri
. Veri tabanı erişim şifre denemeleri
. Yetkisiz erişim testleri
. Mysql, Mssql, Oracle, Sybase, IBM DB2
Penetrasyon Testi / Pentest – Sızma Testi Standartları;
Penetrasyon testleri bir çok güvenlik alanında standart olarak kabul edilmiş olan standart ve sertifikasyon programlarına uyumlu hazırlanmıştır.
CEH, LPT (Eccouncil) ,TSE, CISSP (ISC2), CPT (IACRB), PCI, PTES,TIGERSCHEMA, OWASP, ISACA, OSSTMM, CREST
REF:
https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf
http://www.pentest-standard.org/
https://www.pcisecuritystandards.org/pdfs/infosupp_11_3_penetration_testing.pdf
https://statik.tse.org.tr/upload/tr/dosya/icerikyonetimi/2224/01042015105039-3.pdf
Penetrasyon Testi / Pentest – Sızma Testi Raporlama
Test Sırasında
. Günlük olarak yapılan işlemlerin mesai bitiminde raporlanması
. Zayıflıklar ve Exploitler
. Yetkisiz veriye ulaşılması, trafik anormallikleri
Test Sonrasında
. Yapılan güvenlik testleri sonucu bulunan zayıflıklar ve çözüm önerilerinin sunulması.
. Güvenlik politikalarının belirlenmesi ve uygulanması konusunda önerileri içerir.
Doğrulama Testi
. Güvenlik testi tamamlanıp rapor sunulduktan sonra kurum zayıflıkların kapatıldığını belirterek tekrar doğrulama testi talep edebilir. Doğrulama testi Güvenlik testi sonuç raporunda tespit edilen zayıflıkların tekrar tespit edilip edilmediğinin doğrulaması için uygulanmaktadır.
Kuruluşları İlgilendirmesi Gereken Beş Penetrasyon Testi Zorluğu
Bir kuruluşun BT altyapısının penetrasyon testleri paha biçilmez olabilir. Kuruluşların siber güvenlik duruşlarını güçlendirmelerine ve altyapılarının saldırganlara ne kadar “açık” olduğuna dair derinlemesine bilgi edinmelerine yardımcı olur. Penetrasyon testleri ayrıca kuruluşların çeşitli geçerli yasal gerekliliklere uymalarına da yardımcı olur.
Penetasyon testleri günümüzde oldukça “yaygın” hale geldiğinden, ortaya çıkardıkları bazı kritik zorlukları gözden kaçırmak kolaydır. Bu zorluklar, doğru yönetilmezse kuruluşunuzu saldırılara karşı savunmasız bırakabilir, gereksiz masraflara neden olabilir ve siber güvenlik harcamalarınızın değerini en aza indirebilir.
2008’den beri müşterilerimiz için yüzlerce penetrasyon testi gerçekleştirmiş olmamızdan dolayı, penetrasyon testlerinin yıllar içinde evrimleştiğini gördük. Ne yazık ki, zorluklar da onlarla birlikte evrimleşti. Kuruluşunuzun bir sonraki penetrasyon testi hizmeti sözleşmenizde nasıl hata yapmaktan kaçınacağını anlaması için bunlardan birkaçına göz atalım.
Zorluk #1 – Yanlış Pozitif Sonuçlar
Günümüzde sızma testi şirketlerinin, müşterilerinin BT altyapılarında otomatik bir araç çalıştırıp sonuçları uyarlanmış bir rapor halinde sunmaları oldukça yaygın. Bu otomatik araçların, tarama hızı ve en son güvenlik açıkları için güncellenmiş imzalar gibi bazı avantajları vardır. Ancak en büyük dezavantajları, birkaç yanlış pozitif sonuç vermeleridir. Bunun sizin sorununuz olmadığını düşünebilirsiniz. Ama aslında öyle. Bir CISO/CIO olarak, tespit edilen güvenlik açıklarını nasıl gidereceklerine dair talimatlar içeren sızma testi raporunu iki teknik kaynağınıza verdiğinizi düşünün. Bu “sorunları” gidermek için birkaç hafta harcayabilirler ve sonunda bunların yanlış pozitif sonuçlar olduğunu görebilirler. Bu, zaman ve kaynakların boşa harcanması demektir. İyi bir sızma testi şirketi hem manuel hem de otomatik testler kullanır ve yanlış pozitifleri nasıl ayıklayıp en aza indireceğini bilir.
Zorluk #2 – “Ağırdan Alın”
Anlaşılabilir bir şekilde, birçok müşteri kuruluş BT altyapılarındaki kesintilerden endişe duyuyor. Bu nedenle, sızma testi uzmanlarının altyapılarına “ağırdan almalarını” ve “hiçbir şeyi bozmamalarını” bekleyebilirler. Öte yandan, gerçek bilgisayar korsanlarının kuruluşunuza nasıl saldıracağını düşünün. Geri çekilirler miydi? İşte zorluk burada yatıyor. Altyapınızda bir sızma testi gerçekleştirirken amacınız, gerçek bir bilgisayar korsanının sızmasının ne kadar kolay veya zor olduğunu belirlemektir. Bu, hizmet reddi saldırıları sırasında tam olarak gerçekleşen şey olduğu için altyapınızı çökertmenin ne kadar kolay olduğunu test etmeyi de içermelidir. İyi haber şu ki, burada bir orta yol var. Kuruluşlar, daha sonra “sınırsız” bir şekilde test edilebilecek test altyapıları kurabilirler. Bu şekilde üretim altyapınız bozulmadan kalır. Ancak kötü haber bizi bir sonraki zorluğumuza getiriyor.
Zorluk #3 – Test Ortamının Eksikliği
Her kuruluş, üretim ortamını yansıtan bir test ortamı kuramaz. Yansıtılmış bir test ortamı, kuruluşların önceden biraz zaman, para ve kaynak harcamasını gerektirir. Tüm altyapıları yansıtmak gerçekten zorlayıcı olabilirken, tek tek web uygulamaları, veritabanları veya diğer benzer altyapı öğeleri, önemli bir yatırım yapmadan bir test ortamına yansıtılabilir. Ve bu, kuruluşların kesinlikle dikkat etmesi gereken bir şeydir. Altyapınızın çok daha kapsamlı bir testinden geçeceksiniz. Ve altyapınızın gerçek dünyadaki bir bilgisayar korsanı saldırısına ne kadar dayanıklı olduğunu tam olarak bileceksiniz. İyi bir sızma testi şirketi bu konuda rehberlik sağlayacaktır.
Zorluk #4 – Sınırlı Test Hesapları
Web uygulaması sızma testleri genellikle müşteri kuruluşlarının bize test kullanıcı hesapları sağlamasını gerektirir. Bu test hesapları, bizim gibi sızma test uzmanlarının web uygulamasının iç işleyişini derinlemesine incelemesine yardımcı oldukları için önemlidir. Ancak, hesaplar arası ayrıcalık yükseltme saldırılarının da test edilebilmesi için farklı ayrıcalık seviyelerine sahip birden fazla test hesabı kullanarak test yapmamız da önemlidir. Ne yazık ki, kuruluşlar bazen yalnızca bir test hesabı sağlar ve bu da yetersiz bir testle sonuçlanabilir. Bu kolay bir hedeftir ve kuruluşunuzun sızma test uzmanlarına birden fazla test hesabı sağlamasını şiddetle tavsiye ederiz.
Zorluk #5 – Kapsamı Sınırlandırmak
Modern zamanlar, beraberinde modern teknolojileri de getirdi. Günümüzde arabalardan kalp pillerine, kameralardan yazıcılara kadar her şey internete bağlı. Bu IoT cihazları genellikle çok zayıf siber güvenlik kontrollerine sahip ve bilgisayar korsanları için mükemmel giriş noktaları oluşturuyor. Penetrasyon testlerinin internete bağlanabilen tüm cihazları ve IP adreslerini kapsamasını her zaman öneriyoruz. Güvenlik, en zayıf halkanız kadar güçlüdür. Penetrasyon testlerinizin kapsamını bu tür cihazları kapsamayacak şekilde sınırlamak, sizde yanlış bir güvenlik hissi yaratabilir.
Sonuç
Unutmayın, periyodik sızma testleri yapmak yeterli değildir. Bunların gerçekleştirilme şekli de aynı derecede önemlidir. Siber güvenlik çalışmalarınıza değer katmak için, bu makalede ele alınan zorlukların ele alındığından emin olmak için sızma testi şirketinizle yakın bir şekilde çalışın.
Ref.: