Sızma (Penetrasyon) testi, IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve Siber Güvenlik tehditlerini önceden tespit etmek için kullanılan bir süreçtir. Sızma testi ile IT varlıkları test edilerek, bu varlıklar üzerinde bulunan açıklıklar tespit edilir. Bulunan açıklıklar ve bu açıklıkların giderilme yöntemleri de yine bu süreç dahilinde işlenir. Sızma testleri her bir varlık türüne göre senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek testin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihaz ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilmektedir. Sızma testlerinin temel olarak aldığı ulusal ve uluslararası metadolojik yaklaşımlar aşağıdaki gibidir.
- Ulusal Metadolojik Yaklaşımlar
- TSE (TS-13638)
- Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
- BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi
- Uluslararası Metadolojik Yaklaşımlar
- NIST 800-115
- OSSTMM (Open Source Security Testing Methodology Manual)
- ISSAF (Information Systems Security Assessment Framework)
- OWASP Testing Guide
- SCADA Methodology
Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan 3 ana yöntem kullanılarak testler uygulanır.
Bu yaklaşımda, başlangıçta güvenlik testi yapılacak sistemlerle ilgili bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir. Bu yöntemde test ekibinin sistem hakkında hiç bilgisi olmayacağından, yanlışlıkla sisteme zarar verme ihtimalleri bulunmaktadır. Bilgi toplama safhası oldukça zaman alır. Süre bakımından en uzun süren test yaklaşımıdır.
Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi vb. Bilgiler güvenlik testi yapacak ekibe önceden sağlanır. Black Box yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski çok azdır.
Sızma testi, daha önce Müşteri ile yapılan “Sızma Testi Başlangıç Toplantısı”nda belirlenen senaryo dahilinde gerçekleştirilir. IT varlıklarına yönelik sızma testi aşağıdaki tüm başlıkları kapsayacak şekilde ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilir.
- Web Uygulamaları Sızma Testleri
- Etki Alanı Sızma Testleri
- İstemci Taraflı Sızma Testleri
- Veritabanı Sızma Testleri
- Network Sızma Testleri
- E-Posta – DNS Servisleri Sızma Testleri
- Kablosuz Ağ Sızma Testleri
- Servis Engelleme (DDoS) Testleri
- Sosyal Mühendislik ve Hedef Odaklı (APT) Sızma Testleri
- Güvenlik Duvarı Atlatma Testleri
- URL, İçerik Filtreleme ve Spam Gateway Ürünleri Atlatma Testleri
- Sanallaştırma Sistemleri Sızma Testleri
- Cloud Sistemlere Yönelik Sızma Testleri
