Veri ihlalleri şirketler için önemli mali kayıplara neden olmaktadır. IBM’E göre, 2020’deki veri ihlallerinden kaynaklanan ortalama hasar 3,86 milyon dolar olarak gerçekleşti. Bu olayların yarısına siber saldırılar neden oldu.
Şirketler, diğer tekniklerin yanı sıra saldırı simülasyonunu da içerdiğinden, sızma testi yaparak veri ihlallerini önleyebilir. Sızma testi (pentest), işletmelerin BT altyapılarındaki mevcut güvenlik açıklarını belirlemelerine ve bir saldırının neden olabileceği olası hasarı değerlendirmelerine olanak tanır.
Profesyonel penetrasyon test cihazları, endüstri onaylı metodolojileri ve standartları takip eder. En popüler ve saygın beş tanesi OSSTMM, NIST SP800-115, OWASP, ISSAF ve pte’lerdir. Bunlardan herhangi biri teknik olarak bir pentest yapmak için yeterli olsa da, deneyimli denetim şirketleri aynı anda birkaçını kullanmayı tercih ediyor. Kesin seçim, denetlenen şirketin iş ve bilgi güvenliği süreçleri gibi özelliklerine bağlıdır.
5 Metodoloji ve standardın her birine daha yakından bakalım.
Sızma Testi
OSSTMM
Açık Kaynak Güvenlik Test Metodolojisi Kılavuzu (OSSTMM) en popüler test standartlarından biridir. Güvenlik ve Açık Metodolojiler Enstitüsü (ISECOM) tarafından geliştirilmiştir.
OSSTMM, ayrıntılı bir test planı, mevcut güvenlik düzeyini değerlendirmek için metrikler ve nihai bir rapor yazmak için öneriler sunar. OSSTMM yaratıcıları, osstmm’ye göre gerçekleştirilen herhangi bir testin ayrıntılı ve kapsamlı olacağını ve sonuçlarının ölçülebilir ve gerçeğe dayalı olacağını garanti eder.
OSSTMM, operasyonel güvenliği test etmek için beş ana kanal veya yön önerir. Kanallara ayırmak testi kolaylaştırır ve test edicilerin bir şirketin güvenlik düzeyini daha kapsamlı bir şekilde değerlendirmesini sağlar.
İnsan güvenliği. İnsanlar arasındaki doğrudan fiziksel veya psikolojik etkileşimlerle ilgilenen güvenlik yönü.
Fiziksel güvenlik. Fiziksel veya elektromekanik olarak çalıştırılan herhangi bir maddi (elektronik olmayan) güvenlik unsuru.
Kablosuz iletişim. Wi-Fi’den kızılötesi sensörlere kadar tüm kablosuz iletişim ve cihazların güvenliği.
Telekomünikasyon. Analog ve/ veya dijital telekomünikasyon. Bu kanal çoğunlukla telefonla ve dahili bilgilerin telefon hatları üzerinden iletilmesiyle ilgilidir.
Veri ağları. İç ve dış kurumsal ağların, İnternet bağlantılarının ve ağ aygıtlarının güvenliği.
OSSTMM evrensel bir standarttır, yani herhangi bir penetrasyon testini gerçekleştirmek için bir temel sağlayabilir. Test uzmanları, güvenlik değerlendirme sürecini belirli bir müşteriye uyarlarken OSSTMM yönergelerine güvenebilir, böylece iş süreçlerinin yanı sıra teknoloji ve endüstri özellikleri de dikkate alınır.
NIST SP800-115
NIST Özel Yayınlar 800 Serisi, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilen bir bilgi güvenliği standardıdır. SP 800-115 özel yayını, genel sızma testi prosedürünü ve bir şirketin bilgi güvenliği düzeyini değerlendirmenin teknik yönlerini açıklamaktadır. Ayrıca test sonuçlarını analiz etmek ve güvenlik risklerini azaltmak için önlemler geliştirmek için öneriler sunar. Bu belgenin en son sürümü özellikle siber saldırı risklerini azaltmaya odaklanmaktadır.
NIST SP800-115, finans ve BT dahil olmak üzere farklı sektörlerdeki şirketlerde bilgi güvenliğini değerlendirmek için kullanılabilecek teknik bir kılavuzdur. Bu pentest metodolojisinin kullanılması, profesyonel denetim şirketleri tarafından zorunlu kabul edilir.
NIST SP800-115, diğer şeylerin yanı sıra şunları içerir:
- denetim yöntemleri – belgeleri, günlükleri, kural kümelerini ve sistem yapılandırmalarını gözden geçirme, ağı koklama, dosya bütünlüğünü kontrol etme;
- rutin olarak hedeflenen güvenlik açıklarını değerlendirme yöntemleri – şifre kırma, sosyal mühendislik, pentestler;
- güvenlik değerlendirmesinin kendisinin düzenlenmesi – koordinasyon, veri işleme, analiz ve değerlendirme;
- değerlendirme tamamlandıktan sonra yapılacak işlemler — riskleri azaltmak, değerlendirme raporunu oluşturmak, güvenlik açıklarını gidermek için öneriler.
OWASP’IN
Açık Web Uygulaması Güvenliği Projesi (OWASP), uygulamaları, web sitelerini ve API’leri test etmek için en kapsamlı metodolojiyi sunan açık bir çevrimiçi topluluktur. OWASP belgeleri, güvenli yazılım geliştirmek isteyen tüm BT şirketleri için kullanışlıdır.
Bu dokümantasyon şunları içerir:
OWASP İlk 10. Web ve mobil uygulamalarda, IoT cihazlarında ve apı’lerde en yaygın güvenlik açıklarını açıklayan bir belge. Tehditler, karmaşıklıklarına ve işletmeler üzerindeki etkilerine göre sıralanır.
OWASP Test Kılavuzu. Web uygulaması güvenliğini sınamak için çeşitli teknikler içeren bir kaynak. Ayrıca gerçek hayattan örnekler içerir.
OWASP Geliştirici Kılavuzu. Güvenli ve güvenilir kod geliştirmek için öneriler sağlayan bir kılavuz.
OWASP Kod İncelemesi. Web geliştiricileri ve ürün yöneticileri tarafından kullanılabilecek bir kılavuz. Mevcut kod güvenliğini test etmek için etkili yöntemler sunar.
Owasp’nin en önemli avantajlarından biri, yazılım geliştirme yaşam döngüsünün her aşamasında testi tanımlamasıdır: gereksinim tanımı, tasarım, geliştirme, dağıtım ve bakım. Bunun üzerine OWASP metodolojisi sadece uygulamaları değil teknolojileri, süreçleri ve insan kaynaklarını da kapsar.
Bir diğer önemli avantaj, owasp’nin hem web geliştiricileri hem de pentesterler tarafından kullanılabilmesidir.
OWASP topluluğu ayrıca, Burp Suite’e biraz benzeyen, otomatik testler için platformlar arası bir araç olan OWASP zap’ı da yarattı.
ISSAF
Bilgi Sistemi Güvenlik Değerlendirme Çerçevesi (ISSAF), Açık Bilgi Sistemleri Güvenlik Grubu (OISSG) tarafından oluşturulmuştur ve bilgi güvenliğinin birçok yönünü kapsar. Özellikle, penetrasyon testi için ayrıntılı öneriler sunar: uygun araçları ve bunların nasıl kullanılacağını ve testçilerin çeşitli koşullar altında ne gibi sonuçlar bekleyebileceğini açıklar.
ISSAF, herhangi bir kuruluştaki bilgi güvenliğini değerlendirmek için uyarlanabilen karmaşık ve kapsamlı bir metodoloji olarak kabul edilir. Her ISSAF test aşaması dikkatlice belgelenmiştir. Bu kaynak ayrıca her aşamada belirli araçların nasıl kullanılacağına ilişkin öneriler içerir.
ISSAF metodolojisi, bir saldırıyı simüle ederken katı bir dizi adımı izlemenizi önerir:
- bilgi toplama;
- ağın haritalanması;
- güvenlik açıklarını belirleme;
- delici;
- temel erişim ayrıcalıklarını elde etmek ve ardından bunları yükseltmek;
- erişimi sürdürmek;
- uzak kullanıcılardan ve uzak sitelerden ödün verme;
- test cihazının dijital ayak izlerini gizlemek.
PTE’LER
Sızma Testi Yürütme Standardı (PTES), bilgi güvenliği gereksinimleri yüksek kuruluşlar için temel bir pentestin yanı sıra birkaç daha gelişmiş test varyantı gerçekleştirmek için öneriler sunar. Pte’lerin avantajlarından biri, pentest’in hedeflerinin ve beklenen sonuçlarının ayrıntılı açıklamalarını vermesidir.
PTE’LERE göre testin ana aşamaları:
- İstihbarat Toplama. Müşteri kuruluşu, testçiye BT altyapısındaki hedefler hakkında genel bilgi sağlar. Test cihazı, halka açık kaynaklardan ek bilgi toplar.
- Tehdit modellemesi. Kilit alanlar ve saldırı vektörleri, iş süreçlerine ve kritik BT altyapısı unsurlarına göre tanımlanır.
- Güvenlik açığı analizi. Test cihazı, güvenlik açığıyla ilgili riskleri tanımlar ve değerlendirir. Ayrıca saldırganların kaldırabileceği tüm güvenlik açıklarını da analiz ederler.
- Sömürü. Test cihazı, bulunan güvenlik açıklarından yararlanmaya ve bir saldırganın eylemlerini taklit ederek bilgi sistemi öğelerini devralmaya çalışır.
- Rapor veriyorum. Müşteri kuruluş, bulunan güvenlik açıkları, iş için ne kadar kritik oldukları ve bunları düzeltmek için öneriler hakkında ayrıntılı olarak belgelenmiş pentest sonuçları içeren bir rapor alır.
PTE’LER ayrıca takip veya sömürü sonrası testlerin gerçekleştirilmesine ilişkin bir kılavuz içerir. Şirketin bulunan güvenlik açıklarının uygun şekilde düzeltilip düzeltilmediğini belirlemesine yardımcı olur.
Sonuç
Yalnızca bir metodoloji uygularken bile, deneyimli test uzmanları, müşteri kuruluşuna yönelik tüm potansiyel tehditleri kapsamaya çalışır. Ayrıca müşteriye yönelik teknik, organizasyonel ve yasal riskleri de dikkate alırlar: bir testçi, şirket üzerinde gerçekten olumsuz etkisi olabilecek hiçbir şey yapmaz. Bir saldırganın aksine, eylemlerinin müşteri şirketin altyapısı üzerindeki etkisi söz konusu olduğunda bir test cihazı çok daha kısıtlıdır.
Güvenlik açıklarını olabildiğince çabuk bulmak ve düzeltmek her işletme için en önemli önceliktir. Diğer şeylerin yanı sıra, bir saldırganın bir güvenlik açığından gerçekten yararlanmayı başarması durumunda oluşabilecek maddi hasar miktarını azaltmaya yardımcı olur. Bu yüzden pentest yaparak siber saldırıyı simüle etmek bir savaş oyunu gibidir: şirketlerin her zaman tetikte kalmasına yardımcı olur.
