Penetrasyon testini kimler yapabilir?
Penetrasyon testinde çok farklı yöntemler ve değişkenler söz konusu olduğundan alanında uzman kişilerce ve penetrasyon testi yapan firmalar tarafından gerçekleştirilmesi gerekmektedir. Aksi taktirde bilinçsizce yapılan penetrasyon testleri sırasında yerel ağlarda tıkanıklık, doğrudan kesinti veya veri kaybı gibi gibi problemlerle karşılaşılabilmektedir. Böyle bir durum, hem müşteriyi hem de testi yapan firmayı/kişiyi ciddi riske atmaktadır.
Penetrasyon testi fiyatları ve ücreti
Penetrasyon testinin belirli bir fiyatı veya fiyat aralığı yoktur. Test ettirmek istenen sistemler göz önünde bulundurularak bir kapsam oluşturulur ve buna göre çalışma eforu belirlenerek fiyatlamalar yapılmaktadır. Penetrasyon testi fiyat teklifi almak için yukarıdaki kapsam belirleme formunu doldurabilirsiniz.
Penetrasyon testi nasıl yapılır?
Yetenekleri ve beceri seviyesi yüksek bir bir siber saldırgan, saldırmak için belirlediği bir sisteme sızmak için daha önceden edinmiş olduğu tecrübeler sayesinde düzenli bir yol izlemektedir. Aynı biçimde penetrasyon testini gerçekleştirecek olan sızma testi uzmanları da çalışmalarının tekrar edilebilir, yorumlanabilir ve doğrulanabilir olmasını gerçekleştirmek için kendilerine özgü metodolojiler geliştirir ve geliştirmeleri gerekir. Ayrıca daha önce geliştirilmiş olan bir metodolojiyi de takip etmeleri gerekir.
Metodoloji kullanımı sızma testi ekipleri için çok fazla önem taşımaktadır. Çünkü penetrasyon testlerinde daha önceden denenmiş olan ve belirli kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar üzerindeki başarı oranlara önemli derecede artış gösterecektir. İnternet üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi kılavuzları vardır. Bunlardan bazı önemli olanları aşağıdaki gibidir:
– ISSAF (Information Systems Security Assessment Framework)
– OWASP (Open Web Application Security Project)
– OSSTMM (The Open Source Security Testing Methodology Manual)
– NIST SP800-115
Metodoloji konusu göz önünde bulundurularak; penetrasyon testinin ilk adımı bilgi toplamadır. Hedeflenen iç ve/veya dış ağ hakkında aktif ve pasif yöntemler kullanılarak olabildiğince fazla bilgi toplanmalıdır.
Bilgi toplama adımından sonra servis ve kullanıcı inceleme (enumeration) adımı başlar. Bu adımda çalışan servislerin arkasındaki teknolojiler, bu teknolojilerin üreticileri ve versiyonları tespit edilir. Ayrıca öntanımlı veya tespit edilebilen servis kullanıcıları da bu adımda belirlenir. Tespit edilen kullanıcılar veya ön tanımlı kullanıcılar için varsayılan parolalar denenir, öntanımlı ve diğer kullanıcılar için parola kırma saldırısı penetrasyon testi proje planı dikkate alınarak planlanabilir ve gerçekleştirilebilir. Bu testlerde parola politikaları da dikkate alınmalıdır. Aksi takdirde hesapların kilitlenmesi operasyonel kesinti ile sonuçlanabilmektedir.
Tespit edilen servisler için koşan yazılımlarla ilgili daha önceden yayınlanmış zafiyetler, açıklık veritabanlarından araştırılır. Bunun için otomatik zafiyet tarama yazılımları mevcuttur. Web teknolojilerinde ise genellikle özel fonksiyonlar ve servisler ile karşılaşılacağından manuel olarak web teknolojilerine özel açıklıkların incelenmesi faydalı olmaktadır.
Tespit edilen zafiyetler için yayınlanmış olan örnek sömürü kodları (exploit) ve testi yapan ekibin geliştirdiği kodlar değerlendirilir. Daha önce de belirtildiği gibi sömürü kodları sistemin bütünlüğünü bozabileceği için gerekli onay süreci işletilerek denenmelidir.
Hedef sistemlere adım atılabildiği durumlarda bir sonraki aşama sistemin tamamen ele geçirilmesi olacaktır. Bu amaçla sisteme eriştikten sonra elde edilen bilgiler değerlendirilir ve sistem üzerinde sömürülebilecek yerel zafiyetler yine açıklık veritabanlarından araştırılır. Bu ek adımlar vasıtasıyla sistem tam olarak ve sistem yöneticisi hakları ile ele geçirilmeye çalışılır.
Son olarak raporlama aşamasında tespit edilen zafiyetler ve bunların giderilme yöntemleri raporlanır. Raporun katma değerinin artırılması amacıyla yönetici özeti kısmının da mutlaka bulunması gereklidir. Ek olarak mimari ve süreçsel açılardan alınması gereken önlemler ve izlenmesi gereken stratejiler de belirtilebilir. Çünkü tespit edilen zafiyetler genellikle bu eksikliklerin semptomları olacaktır.