İÇİNDEKİLER

Giriş
Penetrasyon Testi Nedir
Penetrasyon Testi Aşamaları
  1. Planlama ve keşif
  2. Tarama
  3. Erişim Kazanma
  4. Erişim
  5. Analiz
Penetrasyon Test Yöntemleri
  1. Harici test
  2. Dahili test
  3. Kör test
  4. Çift kör test
  5. Hedeflenen test
Sızma Testi Ve Web Uygulaması Güvenlik Duvarları
Tipik Bir Sızma Testi Nasıl Yapılır?
Sızma Testinin Ardından Ne Olur?
Sızma Testi Ve Etik
Sızma testi etiği
Sonuç

 

Giriş

Sızma test edicilerin, güvenliklerini değerlendirmek için sistemlere saldırmaları gerekir, ancak bunu yaparken etik olmayan davranışlarda bulunulur.

Sızma testi (kalem testi), bir siber güvenlik uzmanının bir bilgisayar sistemindeki güvenlik açıklarını bulmaya ve bunlardan yararlanmaya çalıştığı bir güvenlik alıştırmasıdır. Bu simüle edilmiş saldırının amacı, bir sistemin savunmasında saldırganların yararlanabileceği zayıf noktaları belirlemektir.

Makalemizde bunların detaylarını inceleyelim.

Penetrasyon Testi Nedir

Sızma Testi olarak da bilinen penetrasyon testi, bilgisayar sisteminize karşı kullanılabilir güvenlik açıklarını kontrol etmek için simüle edilmiş bir siber saldırıdır. Web uygulaması güvenliği bağlamında, bir web uygulaması güvenlik duvarını (WAF) güçlendirmek için sızma testi yaygın olarak kullanılır.

Sızma Testi, kod enjeksiyon saldırılarına duyarlı, temizlenmemiş girdiler gibi güvenlik açıklarını ortaya çıkarmak için herhangi bir sayıda uygulama sisteminin (ör. uygulama protokolü arabirimleri (API’ler), ön uç/arka uç sunucular) ihlal edilmeye çalışılmasını içerebilir.

Sızma testi tarafından sağlanan öngörüler, WAF güvenlik ilkelerinizde ince ayar yapmak ve tespit edilen güvenlik açıklarını yamalamak için kullanılabilir.

Penetrasyon Testi Aşamaları

Sızma Testi süreci beş aşamaya ayrılabilir.

  1. Planlama ve keşif

    İlk aşama şunları içerir:

  • Ele alınacak sistemler ve kullanılacak test metotları dahil olmak üzere bir testin kapsamını ve hedeflerini tanımlama.
  • Bir hedefin nasıl çalıştığını ve olası güvenlik açıklarını daha iyi anlamak için istihbarat toplama (ör. ağ ve alan adları, posta sunucusu).
  1. Tarama

    Sonraki adım, hedef uygulamanın çeşitli izinsiz giriş denemelerine nasıl yanıt vereceğini anlamaktır. Bu genellikle aşağıdakiler kullanılarak yapılır:

  • Statik analiz – Çalışırken nasıl davranacağını tahmin etmek için bir uygulamanın kodunu inceleme. Bu araçlar, kodun tamamını tek bir geçişte tarayabilir.
  • Dinamik analiz – Bir uygulamanın kodunu çalışır vaziyette inceleme. Bu, bir uygulamanın performansına ilişkin gerçek zamanlı bir görünüm sağladığı için daha pratik bir tarama yöntemidir.
  1. Erişim Kazanma

    Bu basamakta, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma,  SQL enjeksiyonuve  arka kapılar gibi web uygulaması saldırılarını kullanır  . Test kullanıcıları daha sonra, neden olabilecekleri hasarı anlamak için tipik olarak ayrıcalıkları artırarak, verileri çalarak, trafiği durdurarak vb. bu güvenlik açıklarından yararlanmaya çalışırlar.

  2. Erişimi

    sürdürme Bu aşamanın amacı, güvenlik açığının istismar edilen sistemde kalıcı bir varlık elde etmek için kullanılıp kullanılamayacağını görmektir- kötü bir aktörün derinlemesine erişim kazanması için yeterince uzun. Buradaki fikir, bir kuruluşun en ince önemli verilerini çalmak için genellikle aylarca sistemde kalan gelişmiş kalıcı tehditleritaklit etmektir.

  3. Analiz

    Sızma testinin sonuçları daha sonra aşağıdaki ayrıntıları içeren bir raporda derlenir:

  • Sömürülen belirli güvenlik açıkları
  • Erişilen hassas veriler
  • Kalem test cihazının sistemde tespit edilmeden kalabildiği süre

Penetrasyon Test Yöntemleri

Harici test

Harici sızma testleri, örneğin web uygulamasının kendisi, şirket web sitesi ve e-posta ve alan adı sunucuları (DNS) gibi bir şirketin internette görünen varlıklarını hedefler. Amaç, erişim sağlamak ve değerli verilere ulaşmaktır.

Dahili test

Dahili bir testte, güvenlik duvarının arkasındaki bir uygulamaya erişimi olan bir test cihazı, kötü niyetli bir içeriden gelen saldırıyı simüle eder . Bu mutlaka haydut bir çalışanı simüle etmek anlamına gelmez. Ortak bir başlangıç ​​senaryosu, kimlik avı saldırısı nedeniyle kimlik bilgileri çalınan bir çalışan olabilir  .

Kör test

Kör bir testte, test eden kişiye yalnızca hedeflenen kuruluşun adı verilir. Bu, güvenlik görevlisine gerçek bir uygulama saldırısının nasıl gerçekleşeceğine dair gerçek zamanlı bir bakış sağlar.

Çift kör test

Bir çift kör testte, güvenlik personeli, simüle edilmiş saldırı hakkında önceden bilgi sahibi değildir. Gerçek dünyada olduğu gibi, bir ihlal girişiminden önce savunmalarını güçlendirmek için zamanları olmayacak.

Hedeflenen test

Bu senaryoda hem test eden hem de güvenlik personeli birlikte çalışır ve birbirlerinin hareketlerini değerlendirir. Bu, bir güvenlik ekibine bir bilgisayar korsanının bakış açısından gerçek zamanlı geri bildirim sağlayan değerli bir eğitim alıştırmasıdır.

Sızma Testi Ve Web Uygulaması Güvenlik Duvarları

Penetrasyon testi ve WAF’ler özeldir, ancak karşılıklı yarar sağlayan güvenlik önlemleridir.

Pek çok kalem testi türü için (kör ve çift kör testler hariç), test cihazının bir uygulamanın zayıf noktalarını bulmak ve kullanmak için günlükler gibi WAF verilerini kullanması muhtemeldir.

Buna karşılık, WAF yöneticileri kalem testi verilerinden yararlanabilir. Bir test tamamlandıktan sonra, testte keşfedilen zayıf noktalara karşı güvenlik sağlamak için WAF yapılandırmaları güncellenebilir.

Son olarak, kalem testi, PCI DSS  ve  SOC 2 dahil olmak üzere güvenlik denetimi prosedürleri için bazı uyumluluk gereksinimlerini karşılar. PCI-DSS 6.6 gibi belirli standartlar, yalnızca sertifikalı bir WAF kullanılarak karşılanabilir. Ancak bunu yapmak, yukarıda belirtilen faydaları ve WAF yapılandırmalarını geliştirme yeteneği nedeniyle kalem testini daha az kullanışlı hale getirmez

Tipik Bir Sızma Testi Nasıl Yapılır?

Kalem testleri, etik bir bilgisayar korsanının simüle edilmiş saldırılarını planlamak için kullanacakları veri ve bilgileri toplamak için zaman harcadığı bir keşif aşamasıyla başlar. Bundan sonra, odak, geniş bir araç seti gerektiren hedef sisteme erişimin kazanılması ve sürdürülmesi haline gelir.

Saldırı araçları, kaba kuvvet saldırıları veya SQL enjeksiyonları üretmek için tasarlanmış yazılımları içerir . Ayrıca, bilgisayar korsanının bu ağa uzaktan erişimini sağlamak için ağdaki bir bilgisayara takılabilen göze çarpmayan küçük kutular gibi kalem testi için özel olarak tasarlanmış donanımlar da vardır. Ek olarak, etik bir bilgisayar korsanı, güvenlik açıklarını bulmak için sosyal mühendislik tekniklerini kullanabilir. Örneğin, şirket çalışanlarına kimlik avı e-postaları göndermek, hatta binaya fiziksel erişim sağlamak için teslimat görevlisi kılığına girmek.

Bilgisayar korsanı, izlerini gizleyerek testi tamamlar; bu, herhangi bir gömülü donanımı kaldırmak ve tespit edilmekten kaçınmak ve hedef sistemi tam olarak bulduğu gibi bırakmak için ellerinden gelen her şeyi yapmak anlamına gelir.

Sızma Testinin Ardından Ne Olur?

Bir Sızma Testini tamamladıktan sonra, etik hacker bulgularını hedef şirketin güvenlik ekibiyle paylaşacaktır. Bu bilgiler daha sonra test sırasında keşfedilen güvenlik açıklarını kapatmak için güvenlik yükseltmelerini uygulamak için kullanılabilir. Bu yükseltmeler arasında hız sınırlama , yeni WAF kuralları ve DDoS azaltmanın yanı sıra daha sıkı form doğrulamaları ve temizleme yer alabilir.

 

Sızma Testi Ve Etik

Etik, ahlakın incelenmesidir (Tavani, 2006). Etik, neyin “doğru” olduğu hakkında farklı bakış açıları hakkında ilke ve teoriler sağlayarak, argümanları sınıflandırmaya, bir pozisyonu savunmaya veya başkalarının aldığı pozisyonu daha iyi anlamaya yardımcı olur ve bunu yaparken uygun bir hareket tarzının belirlenmesine yardımcı olur. Penetrasyon testi etiği canlandırır, uygulayıcıları bir testin parametrelerini kabul etmekten, bir test sırasında hangi tekniklere izin verilip verilmeyeceğine karar vermeye kadar çeşitli durumların sonuçları hakkında düşünmeye zorlar (Bishop, 2007).

Bilgisayar korsanlığının bazı etik sonuçları anlaşılmış olsa da (Spafford, 1992), etik korsanlığın sonuçları nispeten kötü araştırılmıştır. Ayrıca, bilgisayar derecesi derslerinde etiğin rolü tartışılırken, öğrencilere onları profesyonel kariyerlerine hazırlamak için nelerin öğretilmesi gerektiği konusunda tutarsız seçenekler vardır (Hall, 2014). Sonuç olarak, profesyonel penetrasyon test uzmanları, davranışları hakkında tavsiye vermek için kaçınılmaz olarak profesyonel kodlara geri dönerler; bu tür kodların etik çatışmaları ve endişeleri kapsayacak kadar geniş, ancak gerçek durumlarda karar vermeye rehberlik edecek kadar spesifik olması gerekir (Perlman ve Varma, 2002). Güvenlik topluluğunun etik korsanlar için bu tür kodlar hazırladığına dair birkaç örnek var. Örneğin, Kayıtlı Etik Güvenlik Test Uzmanları Konseyi (CREST), üyelerine bir davranış kuralları sağlar (CREST, 2014). Bu kod, yalnızca bir etik kurallar öngörmekle kalmaz, aynı zamanda iyi uygulama için bir yardımcı hatıradır; bunlar, yeni tekniklerin ve araçların etkisini değerlendirme ihtiyacını ve proje çıktılarını müşterilere açıklamak ve yeni standartlar ve düzenlemelere ayak uydurmak için gereksinimleri içerir. Bununla birlikte, bu tür kodlar genellikle belirli bir rehberlik sağlamaktan ziyade kısıtlamalar ve kurallar olarak çerçevelenir. Bu tür kodlar yalnızca bir yönergeyi bulmanın ve izlemenin etik davranmak için hem gerekli hem de yeterli olduğu yolunda yanlış bir izlenim vermekle kalmaz, aynı zamanda etik öneme sahip çatışmalarla nasıl başa çıkılacağına dair tavsiyelerde bulunmaz (Ladd, 1985).

Sızma Testi Etiği

BT ihlallerinin incelenmesi, güvenlik düzgün bir şekilde test edilmiş olsaydı, genellikle bunların önlenebileceğini ortaya çıkarır. Gerçekten de, birçok olay, saldırganların zaten bir deliğin olduğu yere girebildikleri için meydana gelir ve bunları önceden belirlemek ve ele almak için daha fazla şey yapılmış olsaydı, aslında önlenebilirdi.

Örneğin, Bilgisayar Güvenliği Enstitüsü’nün (CSI) yakın tarihli anket bulgularına bakıldığında, bir olaydan sonra yapılan en yaygın eylemlerin güvenlik açığı bulunan yazılımlara yama yapmak (%62) ve savunmasız donanım veya altyapıyı yamalamak veya düzeltmek (49) olduğu önemlidir. Yüzde) Bilgisayar Güvenliği Enstitüsü’nün 15. Yıllık 2010 / 2011 Bilgisayar Suçları ve Güvenlik Araştırmasına göre.

Sorunun bir kısmı sağlam bir yama rejimi ile üstesinden gelinebilse de, güvenlik açığı yönetimi konusu, satıcı kaynaklı uygulama hatalarını düzeltmenin ötesine geçer ve ayrıca yerel yapılandırma hataları, çevreleyen altyapı ve sunucunun davranışı sayesinde ortaya çıkabilecek ek zayıflıkları içerir. Kullanıcılar.

Bu yalnızca üretim yazılımı için değil, güvenlik kontrolleri ve izleme araçları için de geçerlidir. Mevcut güvenlik altyapısında var olabilecek konfigürasyon hatalarının tespit edilmesi ve sağlamlığının sağlanması esastır. Bu nedenle, sorunun başında olmalarını sağlama sorumluluğu kuruluşlardadır ve proaktif bir güvenlik testi programından elde edilecek gerçek bir avantaj olabilir. 

Temel yaklaşım, güvenlik kontrollerinin ve uygulamalarının beklenen standartlarla uyumlu olduğundan emin olmak için bir denetim yapmak olsa da, gerçek bir saldırının etkilerini simüle etmeye çalışan aktif değerlendirmelerden daha fazla güven sağlanabilir.

Sonuç olarak, sızma testi artık güvenliğin yaygın olarak tanınan bir yönüdür ve yukarıda bahsedilen CSI anketi, katılımcıların yaklaşık yüzde 34’ünün sistemlerini değerlendirmek için harici hizmetleri kullandığını, yüzde 41’inin ise bu tür faaliyetleri dahili olarak yürüttüğünü iddia etmiştir. Ayrıca, Ernst & Young’ın 2010 Küresel Bilgi Güvenliği Anketine göre kuruluşların üçte birinden fazlasının ilgili harcamalarını artırmayı beklediğini gösteren başka bulgularla birlikte kullanım artıyor.

Bununla birlikte, tanınırlık artarken, kuruluşlar hem kapsam hem de testin yürütülmesi dahil olmak üzere konuya nasıl yaklaşılacağını belirlemede zorluklarla karşılaşabilir. Daha önce belirtildiği gibi, sızma testleri, daha geniş organizasyonu ve içindeki insanları kapsayacak şekilde teknolojinin ötesine geçmelidir. Bununla birlikte, teknik olmayan yönler genellikle daha az dikkat çekme eğilimindedir.

Örneğin, 2008’deki Ernst & Young anket bulgularına göre, yanıt verenlerin yüzde 85’i ‘internet testi’ gerçekleştirdiğini iddia ederken, yalnızca yüzde 46’sı ‘güvenli alanlara fiziksel erişimi’ test etti ve sadece yüzde 19’u ‘sosyal mühendislik girişimlerini’ denedi. ‘ çalışanlarına karşı.

Bu bilgiler, güvenlik açıklarını yamalamak ve gelecekteki saldırılara karşı korumak için bir kuruluşun WAF ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için güvenlik personeli tarafından analiz edilir .

İdeal olarak, kararlı saldırganların kendilerine açık olan herhangi bir yolu kullanmaları muhtemel olduğundan (eğer olası bir durumda insan zayıflıklarından yararlanmanın arzu edilen bir geri dönüş olması muhtemeldir), kendisini hedefli saldırıların olası bir odağı olarak gören herhangi bir kuruluş tarafından bütünsel bir yaklaşım düşünülmelidir. Sağlam teknik savunmalarla karşı karşıya kaldı, ya da zaten bazı saldırganlar için tercih edilen bir başlangıç ​​noktası).

Sonuç

Sızma testi bir siber güvenlik uzmanının bir bilgisayar sistemindeki güvenlik açıklarını bulmaya ve bunlardan yararlanmaya çalıştığı bir güvenlik alıştırmasıdır. Bu simüle edilmiş saldırının amacı, bir sistemin savunmasında saldırganların yararlanabileceği zayıf noktaları belirlemektir.

Sistemin nasıl güvenli hale getirildiği konusunda önceden bilgisi olmayan veya çok az bilgisi olan biri tarafından kalem testi yaptırmak en iyisidir çünkü sistemi oluşturan geliştiriciler tarafından gözden kaçırılan kör noktaları ortaya çıkarabilirler

Bir kalem testini tamamladıktan sonra, etik hacker bulgularını hedef şirketin güvenlik ekibiyle paylaşacaktır. Bu bilgiler daha sonra test sırasında keşfedilen güvenlik açıklarını kapatmak için güvenlik yükseltmelerini uygulamak için kullanılabilir.

 

Kaynakça

 

 https://www.imperva.com/learn/application-security/penetration-testing/ adresinden 8 Haziran 2021 tarihinde alınmıştır.

https://www.cloudflare.com/learning/security/glossary/what-is-penetration-testing/ adresinden 8 Haziran 2021 tarihinde alınmıştır.

https://www.researchgate.net/publication/277308881_Ethical_Dilemmas_and_Dimensions_in_Penetration_Testing adresinden 8 Haziran 2021 tarihinde alınmıştır.

CREST (2014). Code of Conduct for CREST Qualified Individuals. Available from http://www.crest-approved.org adresinden 8 Haziran 2021 tarihinde alınmıştır.

Bishop, M. (2007). About penetration testing. Security & Privacy, IEEE, 5(6):84– 87 

Spafford, E. H. (1992). Are computer hacker break-ins ethical? Journal of Systems and Software, 17(1):41–47 

Hall, B. R. (2014). A synthesized definition of computer ethics. SIGCAS Comput. Soc., 44(3):21–35.

Perlman, B. and Varma, R. (2002). Improving ethical engineering practice. Technology and Society Magazine, IEEE, 21(1):40–47.

 

Öne Çıkan Görsel adresi: https://www.freepik.com/free-vector/cross-browser-compatibility-abstract-concept-illustration_12290930.htm#page=1&query=web%20test&position=11  adresinden 8 Haziran 2021 tarihinde alınmıştır.

 

Creative Commons Lisansı
Öne çıkan görsel Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır.
https://www.freepik.com/free-vector/cross-browser-compatibility-abstract-concept-illustration_12290930.htm#page=1&query=web%20test&position=11 bağlantısındaki esere dayalı olarak.

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Bu makale smallseotools  sitesi üzerinden 10.06.2021 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %5 Unique: %95