Sık Güvenlik Testi

tarih:

                                       

Ağınızı ve verilerinizi güvence altına almanın anahtarı, kuruluşunuzun güvenlik açıklarını bulmak ve bunları gidermektir. Bu, yalnızca bir kez yapılması gereken bir işlem değildir; güvenlik testi ve ardından güvenlik güçlendirmesi düzenli olarak gerçekleştirilmelidir. Siber tehdit ortamı sürekli olarak evrilirken, aynı zamanda verileriniz, ağınız ve bilgi işlem cihazlarınız da sürekli gelişmektedir. Her küçük değişiklik, yeni bir güvenlik açığına neden olabilir. İşletmenizin siber güvenliği ve değerli veri varlıkları söz konusu olduğunda, proaktif, sürekli ve dikkatli bir yaklaşım benimsemek önemlidir.

Bununla birlikte, birçok şirket güvenlik testlerini zorlayıcı bulmaktadır. Bu durum, her büyüklükteki ve sektördeki işletmeler için geçerlidir. Çoğu zaman, nereden başlayacaklarını bilememektedirler. Ayrıca, BT uzmanları da şirketlerindeki ekipleri güvenlik testlerine bütçe ayırmaya ikna etmekte zorlanmaktadır. Bu, siber güvenlik testi uzmanlarının sıkça karşılaştığı bir durumdur.

Bu bölümde, güvenlik testinin ne olduğunu, farklı güvenlik testi türlerini ve şirketinizin hangi tür güvenlik testlerine neden ihtiyaç duyduğunu belirtilecektir. Ayrıca, kuruluşunuzda etkili bir güvenlik testi programı başlatmak için bazı ipuçları sunulacaktır.


Güvenlik Testi Nedir?
Güvenlik testi, kuruluşunuzun ağındaki güvenlik açıklarını keşfetme yöntemlerini kapsar. Siber suçlular, bu güvenlik açıklarından yararlanabilir. Bazen güvenlik açıkları, örneğin bir çalışanın USB sürücüsünü halka açık bir alanda yanlışlıkla unutması gibi kazara da ortaya çıkabilir ve veri ihlaline yol açabilir.

Kuruluşunuz politikalarını değiştirdikçe, yeni uygulamalar yükledikçe, yazılımları yamaladıkça, yeni cihazlar ekledikçe ve yeni çalışanlar geldikçe, ağınıza yeni güvenlik açıkları eklenebilir. Bu nedenle, güvenlik açıklarının bir sorun oluşturmadan önce yamalanması, azaltılması veya giderilmesi için düzenli güvenlik testleri yapılmalıdır. Siber saldırılar işletmelere olay başına milyonlarca dolara mal olabilmektedir, bu nedenle düzenli güvenlik testlerine zaman ve kaynak ayırmak, işletmenizin kârlılığını koruma açısından önemli bir rol oynar.

Şirketinizin büyüklüğü, sektörü ve güvenlik olgunluk düzeyi, hangi tür güvenlik testlerinin uygun olduğunu belirleyecektir. Güvenlik olgunluğu, kuruluşunuzun siber güvenlik ekibinin ve programlarının ne kadar gelişmiş olduğunu ifade eden bir kavramdır ve bu seviyeye ulaşmak zaman alabilir. Bu konu ilerleyen bölümlerde daha detaylı açıklanacaktır. Ayrıca, pazarlamada birçok güvenlik testi terimi hatalı kullanılmaktadır. Örneğin, sızma testi olmayan güvenlik testleri, satış temsilcileri tarafından sıklıkla yanlışlıkla sızma testi olarak adlandırılmaktadır. Bu bölümde, farklı güvenlik testi türlerini açık ve anlaşılır bir dille ele alınacaktır.


Güvenlik Testi Türleri
Eğer siber güvenlik alanında bir geçmişe sahip değilseniz, siber güvenlik testlerinin ne kadar çeşitli olduğunu görmek sizi şaşırtabilir. Şirketinizin birden fazla türde güvenlik testi yapması gerekebilir, ancak her tür güvenlik testi her kuruluş için uygun veya faydalı olmayabilir.



Güvenlik Denetimleri
Güvenlik denetimleri, kuruluşunuzun güvenlik yapılandırmalarını belirli bir standarda göre test eder. Genellikle bu denetimler, belirli bir güvenlik yönetmeliğine dayanır. Bazı ülkeler ve endüstriler, HIPAA gibi zorunlu düzenlemelere tabidir. Ancak güvenlik denetimlerinde, belirli bir güvenlik standardı olarak kabul edilebilecek çeşitli çerçeveler kullanılabilir. Örneğin, Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulaması güvenlik standartlarını belirleyen kar amacı gütmeyen bir kuruluştur. Bu standartlar, web uygulamalarında iyi birer yönerge olmasına rağmen zorunlu değildir. Kuruluşunuz bu standartlara uymadığında herhangi bir yasal ceza uygulanmaz, ancak OWASP standartları bir web uygulamasının güvenlik denetiminde kullanılabilir.

Güvenlik denetimleri, her ölçekteki ve güvenlik olgunluğu düzeyindeki kuruluşlar için geçerli olabilir. Kuruluşunuzun tabi olduğu güvenlik düzenlemeleri ve isteğe bağlı standartlar, ülkenize, sektörünüze ve uygulamalarınıza bağlı olarak değişiklik gösterecektir. Güvenlik olgunluğu kavramı ilerleyen bölümlerde daha detaylı açıklanacaktır.

Güvenlik Açığı Değerlendirmesi ve Sızma Testi
Güvenlik açığı değerlendirmesi, kuruluşunuzda olabildiğince çok güvenlik açığını tespit etmek amacıyla yapılan genel bir incelemedir. Etkili bir güvenlik açığı değerlendirmesi, hangi açıkların öncelikli olarak ele alınması gerektiğini ve bunların nasıl düzeltileceğini belirten bir rapor sunar. Bu süreç, sıklıkla ağ güvenlik açığı taramalarıyla karıştırılır. Ancak, ağ güvenlik açığı taramaları genellikle Metasploit Framework veya Nessus gibi araçlar kullanılarak yapılandırılmış belirli güvenlik açıklarını tespit etmeye yöneliktir. Güvenlik açığı değerlendirmesi ise daha geniş kapsamlıdır.

Güvenlik açığı değerlendirmesi, örneğin veri merkezinizdeki fiziksel güvenlik tedbirlerine veya kullanılan işletim sisteminde ortaya çıkan yeni bir hataya bakabilir. Bu süreç, kuruluşunuzun bilgisayarlarında bir güvenlik açığının mevcut olup olmadığını ve nasıl yapılandırıldığını analiz edebilir.

Güvenlik açığı değerlendirmesi, fiziksel güvenlikten bilgi işlem cihazlarına, yazılımdan ağ yapılandırmalarına ve çalışanlara kadar birçok alanda uygulanabilir. Ancak, güvenlik açığı değerlendirmesi ile sızma testi arasında önemli bir fark vardır. Güvenlik açığı değerlendirmesi, olabildiğince fazla güvenlik açığını tespit etmeyi amaçlarken, sızma testi bir siber saldırganın perspektifinden hareket eder ve belirli simüle edilmiş saldırıları gerçekleştirmeyi içerir.

Güvenlik testi müşterileri genellikle sızma testi terimine daha aşinadır ve bu test daha karmaşık ya da çekici gelebilir. Ancak, hiçbir güvenlik testi türü diğerinden üstün değildir; her bir test türü, farklı durumlarda daha uygun olabilir.

Bu testlerin farkını görselleştirmek için güvenlik denetimi, güvenlik açığı değerlendirmesi ve sızma testi kavramlarını şöyle düşünebiliriz: Güvenlik denetimi, bir güvenlik standardına uyulup uyulmadığını değerlendiren bir kontrol listesi gibidir. Güvenlik açığı değerlendirmesi, bir ortamda bulunan olası güvenlik açıklarını keşfetmeye yönelik bir "Paskalya yumurtası avı" olarak düşünülebilir. Sızma testi ise, bir siber saldırgan gibi davranarak, sistemde erişim hakkı olmayan verilere ulaşma girişiminde bulunmayı içerir.

Kuruluşunuz düşük ila orta düzeyde bir güvenlik olgunluk seviyesine sahipse, sızma testleri yerine güvenlik açığı değerlendirmeleri yapmak daha uygun olabilir. Güvenlik olgunluğu düşük bir kuruluş, genellikle çok sayıda güvenlik açığı tespit ederken, güvenliği daha olgun bir ağ daha az güvenlik açığına sahip olacaktır. Güvenlik olgunluğu yüksek olan bir kuruluş ise, bir siber saldırganın belirli hedeflere ulaşıp ulaşamayacağını test etmek için sızma testi yapmayı tercih edebilir. Sızma testi genellikle "pentest" olarak kısaltılır ve bu testi yapan kişilere "pentester" ya da "etik hacker" denir.




Kırmızı Takım Testi
Güvenlik açığı değerlendirmeleri ile sızma testlerinin karıştırılması gibi, genellikle sızma testi uzmanları ile kırmızı takım üyeleri de birbirine karıştırılır. Kırmızı takım, kuruluş içindeki özel bir saldırı güvenlik ekibidir. Bu ekip, siber saldırıların simülasyonunu yaparak kuruluşun güvenlik açıklarını tespit etmeye çalışır. Genellikle yalnızca büyük ölçekli şirketler, kırmızı takım gibi bir ekibi destekleyebilecek kaynaklara sahiptir. Eğer bir kuruluş kırmızı takım için yeterince büyükse, mavi takım adı verilen bir savunma ekibine de sahip olmalıdır. Mavi takım, kırmızı takımın gerçekleştirdiği saldırı simülasyonlarından elde edilen bilgileri kullanarak kuruluşun savunma güvenliğini güçlendiren uzmanlardan oluşur.

Sızma testleri, kuruluşunuzun siber saldırıları simüle etmek için tuttuğu harici bir firma tarafından ya da kırmızı takım tarafından yapılabilir. Bu nedenle, sızma testleri genellikle kırmızı takım faaliyetleri olarak görülse de, her sızma testi kırmızı takım tarafından yapılmaz.

Kısaca, kırmızı takım testi, kuruluşunuzun içinde yer alan özel bir güvenlik ekibi tarafından yapılan sızma testidir. Genellikle, bu tür ekipler yalnızca 1000'den fazla çalışanı olan şirketlerde bulunur. Çünkü kırmızı takım üyeleri, ağ yönetimi gibi farklı IT sorumlulukları olmadan, sadece güvenlik testlerine odaklanırlar. Daha büyük şirketlerin, bu tür dahili siber saldırı simülasyonlarına ihtiyaç duyması ve bu faaliyetleri desteklemek için daha fazla kaynağa sahip olması olasıdır.



Hata Ödül Programları
Hata ödül programları, genellikle halka açık olarak sunulan ve yazılım ya da donanımda güvenlik açıklarını tespit etmeyi amaçlayan bir güvenlik testi yöntemidir. Bu programlar, şirketler tarafından genellikle yeni güvenlik açıklarını keşfetmeleri için dışarıdan uzmanları teşvik etmek amacıyla oluşturulur. Örneğin, Microsoft'un bir hata ödül programı vardır ve şirket, bilinmeyen bir güvenlik açığını bulan kişilere ödül verir.

Microsoft, bu tür programları yürüten şirketlere örnek teşkil eder. Milyonlarca kullanıcısı olan ve büyük bir siber güvenlik ekibine sahip olan Microsoft, bulguları analiz etmek ve güvenlik yamaları geliştirmek için gerekli kaynaklara sahiptir. Hata ödül programları genellikle büyük teknoloji şirketleri tarafından yürütülür, çünkü bu şirketler yüksek güvenlik olgunluğuna sahiptir ve alınan raporları etkili bir şekilde yönetebilirler.

İlk geniş kapsamlı hata ödül programı, 1995 yılında Netscape tarafından başlatılmıştır. Günümüzde ise hata ödülleri, küçük güvenlik açıkları için 100-1000 dolar arasında değişirken, kritik güvenlik açıkları için bu rakam 100.000 doların üzerine çıkabilir. Hata ödül programlarına ilişkin kapsamlı bir listeye HackerOne platformu üzerinden ulaşabilirsiniz.

Ancak, bu tür programlar her şirket için uygun değildir. Eğer büyük bir kullanıcı tabanına sahip değilseniz ve yeterli güvenlik kaynaklarınız yoksa, bir hata ödül programı başlatmak yarardan çok sorun yaratabilir. Ayrıca, hata ödül programları tek başına kapsamlı bir güvenlik testi yerine geçmez, çünkü hedefli bir test sağlamakta yetersiz kalabilirler. Güvenlik açıklarını bulmak faydalı olsa da, bu yöntemle planlı bir güvenlik testi yapılamaz.


Güvenlik Olgunluğu Nedir?
Güvenlik olgunluğu, bir kuruluşun siber tehditleri ve olayları yönetme ve önleme yeteneğinin bir ölçüsüdür. Düşük güvenlik olgunluğuna sahip bir kuruluş, genellikle siber güvenlik uzmanı barındırmaz ve güvenlik, yalnızca bir gereklilik olarak görülür. Yüksek güvenlik olgunluğuna sahip bir kuruluş ise güçlü bir güvenlik kültürüne sahiptir; herkesin güvenliğe katkıda bulunduğu bir yapıdadır. Bu tür şirketler, kırmızı ve mavi ekipler, bilgi güvenliği yöneticisi (CISO) ve çeşitli siber güvenlik uzmanlarından oluşan ekipler barındırır. Ayrıca, yazılım geliştiriyorlar ve bir hata ödül programı yürütüyorlarsa, gelen hata raporlarını analiz edip güvenlik yamaları geliştirmek için ayrılmış bir ekibe sahiptirler.

Bir kuruluşun güvenlik olgunluğunu kısa sürede yüksek seviyeye çıkarması mümkün değildir. Bu süreç zaman alır ve insan kaynağı, eğitim, güvenlik kültürü oluşturma gibi faktörlerle yıllara yayılabilir. Güvenlik politikalarının geliştirilmesi, uygulanması ve iyileştirilmesi uzun bir süreçtir. Ancak, her yıl güvenlik olgunluğunda küçük de olsa ilerleme kaydedilirse, bu doğru bir yol izlendiğinin göstergesidir. Bu ilerleme, gurur duyulması gereken bir gelişmedir.


Güvenlik Denetimlerinin Temelleri ve Güvenlik Açığı Değerlendirmeleri

Güvenlik denetimi, bir hükümet veya sektör düzenleyicisi tarafından şirketinizin bilgisayarları ve ağlarının belirli bir güvenlik standardıyla karşılaştırılmasıdır. Güvenlik açığı değerlendirmesi ise, şirketinizin ağının güvenlik standartlarına uygun olup olmadığını kontrol etmek için tercih edilen bir testtir.

Güvenlik denetimleri genellikle bir devlet kurumu tarafından yapılır ve bu denetimlerin zamanlaması üzerinde kontrolünüz yoktur. Ancak, bu denetimlerden geçmek için hazırlık yapabilirsiniz. Güvenlik açığı değerlendirmesi ise, şirketinizin ağının güvenliğini sağlamak için uyguladığınız isteğe bağlı bir süreçtir.

Ağınız, değerlendirilmesi gereken birçok farklı güvenlik standardına tabi olabilir. Örneğin, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) veya ABD'nin Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi düzenlemeler, bu standartlardan bazılarıdır. Bu düzenlemelere uygunluk sağlamak, maliyetli cezalardan kaçınmanıza yardımcı olabilir. Örneğin, GDPR ihlalleri milyonlarca euroya mal olabilirken, HIPAA ihlalleri her bir olay için 100 ila 50.000 dolar arasında ceza doğurabilir.

Mevzuata uyum, sadece cezalardan kaçınmanıza değil, aynı zamanda siber güvenlik açığı olasılıklarını azaltmanıza da yardımcı olabilir. Ancak, mevzuata uygunluk sağlamak bazı güvenlik açıklarını göz ardı edebilir. Örneğin, kötü amaçlı yazılımlara karşı koruma sağlamak, her düzenlemenin kapsadığı bir konu olmayabilir.

Ayrıca, OWASP gibi devlet düzenlemeleri dışındaki güvenlik standartlarına dayalı bir değerlendirme yapmak da faydalı olabilir. Bu tür değerlendirmeler, para cezası doğurmasa da, üretkenlik kaybı ve itibar kaybı gibi olumsuz sonuçlardan korunmanıza yardımcı olabilir.

Bir üçüncü tarafın güvenlik açığı değerlendirmesi yapmasını öneririm. Bu, ağınızdaki güvenlik standartlarının uygulanabilirliğini değerlendirmenize yardımcı olacaktır. Devlet denetimi sırasında ceza ödememek için kendi güvenlik açığı değerlendirmelerinizi yaptırmak daha ekonomik bir yol olacaktır. Ayrıca, ağınızdaki önemli değişiklikler, yeni bir işletim sistemi veya bulut sağlayıcısı entegre ettiğinizde, bir güvenlik açığı değerlendirmesi yaptırmayı düşünmelisiniz. Yılda bir veya iki kez değerlendirme yapmak da iyi bir uygulamadır. Önerim, büyük bir değişiklik olduğunda veya 18 ayda bir değerlendirme yapmaktır.



Erken Oturum Açın, Sık Oturum Açın

Bir güvenlik açığı değerlendirmesini kolaylaştırmak ve bir denetimden geçebildiğinizden emin olmak için şirketinizin yapabileceği en önemli şey, mümkün olduğunca çok günlük oluşturmak ve saklamaktır.

Güvenlik duvarları ve yönlendiriciler gibi ağ güvenlik cihazları, ağınızdaki her bilgisayar, veri depolama ve yazıcı cihazları, ayrıca bilgisayarınızdaki birçok uygulama günlüğe kaydedilebilir. Çalışanlarınıza benzersiz bir kullanıcı hesabı atamak, ağınızda yaptıkları her şeyi kaydetmenizi sağlar. Çalışanlarınız ofiste veya uzaktan çalışıyor olsun, her etkinlik loglanabilir. Eğer AWS veya Microsoft Azure gibi bir bulut sağlayıcısı kullanıyorsanız, bu platformlardaki etkinlikler de günlüğe kaydedilebilir.

Ağınızda mümkün olduğu kadar çok etkinlik için günlükler oluşturacak şekilde bir yapılandırma yapmadıysanız, bunu bir an önce yapmalısınız. Bir denetimde referans alınabilecek kayıtların olmaması büyük sorun yaratabilir. Ağ güvenliği uzmanlarınız bu konuda size yardımcı olabilir.

Günlükleri en az birkaç yıl saklamak en iyisidir. Mümkünse, bunları hem yerel ağınızda hem de bulut hizmetinizde saklayın. Kapsamlı ve otomatik günlük kaydı oluşturduktan sonra, günlüklerin hacmi sizi bunaltmamalıdır. Günlük analiz yazılımı, güvenlik uzmanlarınızın günlükleri daha anlamlı bir şekilde incelemesine yardımcı olur.

Günlüğe kaydetme yalnızca güvenlik denetimlerinin geçmesine yardımcı olmaz; aynı zamanda savunma güvenliği uzmanlarınızın siber güvenlik olaylarını önlemesine ve bu olaylara yanıt vermesine de yardımcı olur.

Büyük bir şirkete sahipseniz ve binlerce bilgisayarınız varsa, bir güvenlik bilgi ve olay yönetim sistemi (SIEM) edinmeyi düşünmelisiniz. Bu sistem, günlüklerdeki belirli kalıplara göre olası siber olayları tespit edebilir ve güvenlik uzmanlarınızı uyarabilir.


Güvenlik Açığı Değerlendirmeleri ve Güvenlik Denetimleri için Hazırlanın

Kuruluşunuza güvenlik açığı değerlendirmeleri ve güvenlik denetimleri sırasında yardımcı olacak bazı önemli ipuçları:

  1. Bilgi Güvenliği ve Veri Güvenliği Politikalarını Gözden Geçirin: Bu politikalar, verilerin nasıl yönetileceğine dair kuralları belirler. Finansal kimlik bilgileri gibi hassas verilerle birlikte, çalışanların internette gezinmesi gibi görünüşte önemsiz veriler de siber saldırganlar tarafından kullanılabilir. Bu nedenle, tüm verilerle ilgili kapsamlı güvenlik politikaları oluşturmalısınız.

  2. Güvenlik Politikalarını Merkezileştirin: Tüm güvenlik politikalarınızı tek bir yerde tutarak, bir güvenlik testçisi veya denetçisi belirli bir politikanın kaydını istediğinde kolayca erişebilirsiniz. Çalışanların veri varlıklarına erişim ilkeleri, felaket kurtarma planları ve siber olay müdahale planları gibi belgeleri düzenli bir şekilde saklayın.

  3. Güvenlik Düzenlemelerini Gözden Geçirin: İşletmeniz için geçerli olan tüm güvenlik düzenlemelerini inceleyin. Bu düzenlemeler, denetimlere tabi olabileceğiniz standartları belirler. Uyumluluğun sağlanmasına yardımcı olmak için düzenlemelerin ayrıntılarını bilmek önemlidir.

  4. Ağ Yapılandırmalarını Kaydedin: Bilgisayar ağlarınızın yapılandırmasını ve bunların nasıl çalıştığını belgeleyin. BT ekiplerinizin ağ diyagramları oluşturmasını ve güncel tutmasını sağlayın. Bu belgeler, ağınızın yapısını anlamak için zaman harcamadan değerlendirme yapabilmenizi sağlar.

  5. Siber Güvenlik Ekibini Tanımlayın: Kuruluşunuzdaki siber güvenlikle ilgili sorumlulukları olan her kişi için rollerini ve sorumluluklarını tanımlayan bir belge oluşturun. Bu, güvenlik açığı değerlendiricilerinin sorumlulukları hakkında net bir anlayışa sahip olmalarını sağlar.


Sızma Testi İçin Kısa Bir Kılavuz

Kuruluşunuz orta düzeyde bir güvenlik olgunluğuna sahipse, sızma testi siber güvenliğinizi geliştirmek için etkili bir yöntemdir. İşte dikkat edilmesi gereken noktalar:

  1. Rıza ve Yasal Belgeler: Sızma testi, izinli bir şekilde gerçekleştirilmelidir. Kurumunuz ile pentester arasında yasal bir belge ve iş emri bulunmalı; bu belgede nelerin yapılmasına izin verildiği ve nelerin yasak olduğu net bir şekilde belirtilmelidir.

  2. Kapsam Tanımı: Testin kapsamını belirleyin. Hangi sistemlerin test edileceği, simüle edilecek istismar türleri ve sınırlar belirlenmelidir.

  3. Güvenlik Olgunluğu: Sızma testi için yeterli olgunluğa sahip olduğunuzdan emin olun. Eğer kuruluşunuz yeni ise, önce güvenlik açığı değerlendirmeleri yapmalısınız.

  4. Ön Hazırlık: Yaygın güvenlik açıklarının önceden engellendiğinden emin olun. Bu, sızma testinin etkili olmasını sağlar.

  5. Test Sonrası Değerlendirme: Test sonucunda elde edilen veriler, güvenlik açıklarını ve zayıf noktaları belirlemek için kullanılmalıdır.

  6. Etkilerin Yönetimi: Sızma testi bazı sistemlerin çevrimdışı kalmasına neden olabilir. Kuruluşunuzun bu durumu yönetebileceğinden emin olun.





Ağ Bilgisine Dayalı Sızma Testi

Pentestleri, pentesterin ağ hakkında ne kadar bilgiye sahip olduğuna göre üç kategoriye ayırabiliriz: kara kutu, beyaz kutu ve gri kutu testleri.


Kara Kutu Testi

  • Tanım: Pentesterlerin ağ hakkında çok az veya hiç bilgi sahibi olmadığı durumlarda gerçekleştirilir. Hangi işletim sistemleri ve uygulamaların kullanıldığını, ağ yapısını ve şirketin iç yapısını bilmezler.
  • Amaç: Dış bir siber saldırganın perspektifinden güvenlik açıklarını değerlendirmek. Bu tür testler, harici bir güvenlik firması tarafından yapılır ve genellikle kötü niyetli saldırılara hazırlıklı olup olmadığınızı anlamanızı sağlar.
  • Hız: Kara kutu testleri, daha hızlı yürütülür çünkü kısıtlı bilgi ile başlar. Ancak, dahili güvenlik açıkları göz ardı edilebilir.

Beyaz Kutu Testi

  • Tanım: Pentesterlerin, tüm sistemler, uygulamalar ve ağ tasarımı hakkında kapsamlı bilgiye sahip olduğu testlerdir.
  • Amaç: Dahili siber saldırıları simüle etmek ve potansiyel zayıf noktaları belirlemek. Genellikle, iç tehditlerden kaynaklanabilecek saldırıları anlamak için faydalıdır.
  • Zorluk: Veri analizi gerektirir; bu nedenle en çok zaman alan test türüdür.
  • Yöntemler: Harici bir firma kiralayabilir veya kuruluş içindeki bir kırmızı ekip ile yürütülebilir.

Gri Kutu Testi

  • Tanım: Beyaz kutu ve kara kutu testleri arasında bir yerde, pentesterlerin sınırlı bilgiye sahip olduğu testlerdir.
  • Amaç: Yeterli bilgiye sahip olmayan bir çalışanın perspektifinden test yaparak dahili güvenlik açıklarını daha etkili bir şekilde bulmak.
  • Uygulama: BT departmanı dışındaki bir çalışana eşdeğer ağ ayrıcalıklarıyla gerçekleştirilir. Yeni bir kırmızı ekip tutulduğunda veya ilk pentest yapıldığında iyi bir başlangıç noktasıdır.

Sonuç

Kara kutu testleri hızlı, beyaz kutu testleri kapsamlı ama zaman alıcıdır. Gri kutu testleri ise bu iki yöntem arasında denge sağlar ve yeterli bilgi ile daha etkili bir sonuç elde etme olanağı sunar. Hangi yöntemi seçeceğiniz, kuruluşunuzun ihtiyaçlarına ve güvenlik olgunluğuna bağlıdır.


Ağ Unsurlarına Dayalı Sızma Testi

Sızma testleri, ağın hangi bileşenlerinin test edileceğine göre farklı kategorilere ayrılabilir. İşte bu kategoriler ve her birinin detayları:

Uygulama Sızma Testi

  • Tanım: Uygulama pentestleri, yazılım uygulamalarının güvenliğini değerlendirmeye yönelik testlerdir. Bu alanda uzmanlaşmış pentesterler, bilgisayar programlama dillerini ve uygulama geliştirmeyi iyi anlar.
  • Amaç: Bir web uygulamasına veya ayrıcalıklara sızarak, verileri yeniden yazma, silme veya yeniden yapılandırma gibi yöneticilik yetkileri elde etmeye çalışırlar.

Fiziksel Pentesting

  • Tanım: Bu testler, kuruluşların fiziksel güvenliğini simüle eder. Saldırganlar, bilgi işlem cihazlarına fiziksel erişim sağlamak için çeşitli yöntemler kullanabilir.
  • Amaç: Fiziksel güvenlik, siber güvenliğin göz ardı edilen bir yönüdür. Kuruluşlar, bilgisayarlarına fiziksel olarak dokunulmasını önlemek için binalarını güvence altına almalıdır.
  • Yöntemler: Kilitleri kırmak, kapıları kaldırmak veya havalandırma sistemlerinden tırmanmak gibi yöntemler içerir.

Sosyal Mühendislik Pentestingi

  • Tanım: Bu tür testler, insanları aldatma sanatıyla ilgilidir. Saldırganlar, çalışanları bilgi vermeye ikna ederek sistemlere sızmaya çalışabilir.
  • Amaç: Çalışanların bilgisayar sistemlerine erişim sağlamalarını sağlamak için kimlik avı yapabilirler.
  • Örnekler: Bir siber saldırganın güvenilir bir varlık gibi davranarak kimlik avı e-postaları veya sahte web siteleri oluşturması.

Kimlik Avı (Phishing)

  • Tanım: Bir siber saldırganın, güvenilir bir varlık gibi davranarak izinsiz bilgi elde etme girişimidir.
  • Yöntemler: Aldatıcı e-postalar, web siteleri veya kısa mesajlar yoluyla gerçekleştirilir. Telefonla yapılan kimlik avına "vishing" denir.

Etik ve Dikkat Edilmesi Gerekenler

Sosyal mühendislik pentestleri sırasında, etik standartlara uyulması önemlidir. Örneğin:

  • Etik Olmayan Uygulamalar: COVID-19 aşılaması gibi hassas konular üzerinden çalışanları kandırmak veya finansal zorlukları fırsata çevirmek gibi davranışlar etik dışıdır.
  • Sonuçlar: Çalışanların güvenlik testleri sırasında kaygı yaşamaları, uzun vadede güvensizlik yaratabilir.

Önem

Sık sık güvenlik testleri yapmak, siber güvenlik duruşunuzu geliştirmek için kritik bir adımdır. Bilgisayar ağlarınız sürekli değiştiği için, güvenlik açıklarını tespit etmek ve gidermek için proaktif bir yaklaşım benimsemek gereklidir. Unutmayın, siber saldırganlar, güvenlik açıklarınızı bulmadan önce ağınızı test etmeniz önemlidir.



Güvenlik Olgunluğu Konusunda Güvenlik Liderleri

Güvenlik olgunluğu, birçok farklı modeli olsa da kesin olmayan bir kavramdır. Güvenlik uzmanlarının görüşleri, bir kuruluşun güvenlik olgunluğunu geliştirmesi için önemli ipuçları sunar:

Mevcut Durumu Anlama

  • Önem: İlk adım, mevcut güvenlik olgunluk düzeyini belirlemek ve kuruluşun risk profilini anlamaktır. Bu, nerede olduğunuzu öğrenmenize yardımcı olur ve gelecekte ulaşmak istediğiniz noktayı belirlemenizi sağlar.

Çerçeve Seçimi ve Boşluk Analizi

  • Nav Bassi'nin Önerileri:
    • Uygun bir güvenlik çerçevesi seçin.
    • Çerçeve ile mevcut durumu kıyaslayarak boşlukları belirleyin.
    • Bu boşlukların kurumsal riske nasıl katkıda bulunduğunu belgeleyin.
    • Olasılık ve etki açısından en önemli riskleri belirleyin ve risklere dayalı yatırımlar için gerekçeler oluşturun.

Risk Yönetimi

  • Marchany'nin Yöntemi:
    • Kritik risklerle başlayın ve güvenlik programınızı bu riskleri azaltmada etkili hale getirin.
    • Önce yüksek riskleri, ardından orta riskleri ele alarak ilerleyin.

Bütçe ve Uygulama

  • Christopher Maulding'in Yaklaşımı:
    • Bütçenizi belirlerken "sürün, yürüyün, çalıştırın" metodolojisini uygulayın.
    • Kullanıcı farkındalığı eğitimi ile başlayın ve süreci geliştirin.
    • İlerledikçe kimlik avına odaklanın.

Sızma Testine Hazırlık

  • Mitch Parker'ın Görüşleri:

    • Sızma testi yapmadan önce risk yönetimi çerçevesinde ortak sorunlar için savunma oluşturup oluşturmadığınızı değerlendirin.
    • Saldırıları tespit etme ve yanıt verme yeteneklerinizi gösterin.

  • Marchany'nin Tavsiyesi:

    • Güvenlik programının uygulanmasının ardından bağımsız bir siber güvenlik değerlendirmesi yaptırın. Bu, BT denetimleri veya siber güvenlik firmaları aracılığıyla gerçekleştirilebilir.

  • Dean'in Basit Yaklaşımı:

    • Eğer internette bir üretim web siteniz varsa, o varlığın sızmasına hazırsınız.
    • Yerinde bir Windows ağına sahipseniz, penetrasyona hazır olduğunuz anlamına gelir.

Güvenlik Testinin Önemi

Güvenlik testleri, siber güvenlik stratejinizin temel taşlarından biridir. Düzenli olarak güvenlik testleri yaparak, güvenlik duruşunuzu sürekli olarak geliştirebilir ve değişen siber tehdit ortamına karşı hazırlıklı olabilirsiniz. Siber saldırganlar, güvenlik açıklarınızı keşfetmeden önce sizlerin bunları bulup düzeltmesi gerektiğini unutmayın.