Sızma (Penetrasyon) testi, IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve Siber Güvenlik tehditlerini önceden tespit etmek için kullanılan bir süreçtir. Sızma testi ile IT varlıkları test edilerek, bu varlıklar üzerinde bulunan açıklıklar tespit edilir. Bulunan açıklıklar ve bu açıklıkların giderilme yöntemleri de yine bu süreç dahilinde işlenir. Sızma testleri her bir varlık türüne göre senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek testin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihaz ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilmektedir. Sızma testlerinin temel olarak aldığı ulusal ve uluslararası metadolojik yaklaşımlar aşağıdaki gibidir.
Ulusal Metadolojik Yaklaşımlar
•TSE (TS-13638)
•Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
•BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi
Uluslararası Metadolojik Yaklaşımlar
•NIST 800-115
•OSSTMM (Open Source Security Testing Methodology Manual)
•ISSAF (Information Systems Security Assessment Framework)
•OWASP Testing Guide
•SCADA Methodology
Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan 3 ana yöntem kullanılarak testler uygulanır.
Siyah Kutu (Black Box)
Bu yaklaşımda, başlangıçta güvenlik testi yapılacak sistemlerle ilgili bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir. Bu yöntemde test ekibinin sistem hakkında hiç bilgisi olmayacağından, yanlışlıkla sisteme zarar verme ihtimalleri bulunmaktadır. Bilgi toplama safhası oldukça zaman alır. Süre bakımından en uzun süren test yaklaşımıdır.
Gri Kutu (Gray Box)
Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi vb. Bilgiler güvenlik testi yapacak ekibe önceden sağlanır. Black Box yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
Beyaz Kutu (White Box)
Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski çok azdır.
Sızma (Penetrasyon) Testi Metadolojisi
Novenzo tarafından periyodik olarak gerçekleştirilecek sızma testleri sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir. Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir. Sızma testine ilişkin detaylar aşağıda yer almaktadır. IT varlıklarına yönelik sızma testi çalışmaları 5 farklı aşamadan oluşmaktadır. Bu aşamalar aşağıdaki grafikte de gösterildiği üzere sırasıyla aşağıdaki adımlardan oluşmaktadır;
Sızma Testi Başlangıç Toplantısı
Testin Gerçekleştirilmesi
Sızma Testi Raporunun Hazırlanması
Bulguların Sunumu
Doğrulama Denetimi