Penetrasyon Testi

Sızma,Penetrasyon yada Pentest olarak bilinir ve bu testlerde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılarak açıkların nereden gerçekleşebileceğiyle ilgili testler yapar. Sızma, Penetrasyon yada Pentest adı verilen bu testlerde lisanslı veya açık-kaynak kodlu araçlar ile otomatize tarama araçlarının dışında kurumların sistemlerine göre manuel testler de uygulayıp oluşabilecek tüm saldırılara karşı, bütün zafiyetler tespit edilip açıklar giderilmeye, onarılmaya çalışılır.

Sızma / Penetrasyon testlerinin amaçları;

- Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek
- Olabilecek saldırılara karşı açıklık ve zafiyet taramasını içten ve dıştan ayrıntılarıyla derinlemesine uygulamak
- Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak
- Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek
- Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
- Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
- Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
- Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak
- Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek

Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.

Sızma / Penetrasyon testlerinin amaçları;

Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.

SIZMA TESTLERİ

Kurumların ağ altyapılarını, yazılım ve donanımları ile uygulamalarını kısacası bilişim sistemlerine saldırganın saldırabilme ihtimali düşünülerek; sistemlere siber saldırı yapılmasıyla zafiyetlerin keşfedilmesine, bu senaryoların simüle edilmesi ve gerçekleşen bu adımların raporlanmasıdır (Secops, bt). Üç farklı şekilde gerçekleştirilebilir:

1. Black box: Testi yapacak olan kişi/kişinin kurumun bilgisi dahilinde olmaksızın sadece hedef sistem gösterilere yapılan sızma testi çeşididir (Secops, bt).

2. White box: Testi yapacak olan kişi/kişilerin kurumun bilgisi dahilinde ilgili sistem bilgileri verilerek yapılan sızma testi çeşididir (Secops, bt).

3. Gray box: Black box ve White box testlerini kapsayan ve seviyesi düşük yetkilerle kurumun sistemlerine sızma denetimi gerçekleştiren sızma testi çeşididir (Secops, bt).

Sızma testleri yapılırken gerçekleştirilen adımlar;

• Gerçekleşecek olan saldırı önce planlanır,

• Kurumun bilgi varlıkları hakkında bilgi toplanır,

• İlgili sistemlere saldırı gerçekleştirilerek zafiyetler bulunur,

• Bulunan zafiyetler olası sömürü senaryoları dahilinde kullanılır,

• Son olarak bu senaryolar, alınan aksiyonlar raporlanarak kurumda yetkili kişiye ilgili rapor teslim edilir.

Sızma Testlerinde Kullanılan Araçlar

Bu bölümde, sızma testleri gerçekleştirilirken kullanılan araçlar ele alınacaktır.

Bilgi toplama araçları

Bilgi toplama aşamasında, en etkili aşama kurumun sosyal medya hesapları, resmi web siteleri incelenebilir. Ayrıca Bilgi toplama aşaması aktif ve pasif tarama araçları olarak iki kısımda incelenebilir

Pasif Bilgi Toplama; ilgili hedefle bilgi toplamanın yapıldığı fakat bu ilgilinin haberi olmayan bilgi toplama çeşididir. Örneğin; Whois, nslookup, vb. gibi

• Whois; hedef alınan kurumun alan adının sorgulanması ile tutulan kayıtları keşfeden servistir.

• Nslookup; nSlookup dns sorgusunun yapılması ile kullanıcı alan adını ve ip adreslerini bulan bir araçtır

• Whois; hedef alınan kurumun alan adının sorgulanması ile tutulan kayıtları keşfeden servistir.

• Nslookup; nSlookup dns sorgusunun yapılması ile kullanıcı alan adını ve ip adreslerini bulan bir araçtır.

Aktif Bilgi Toplama; ilgili hedefle bilgi toplamanın yapıldığı ve pasif bilgi toplamanın aksine ilgili kişinin haberinin olduğu bilgi toplama çeşididir. Örneğin; Sandmap, BruteX, vb. gibi.

• Sandmap; ilgili hedefin sistem ve ağlarını keşfeden ve yaygın bir araç olan nmap’i kullanan bir bilgi toplama aracıdır.

• BruteX; ilgili hedefin SSH gibi protokollerinin kullanılmasına olanak sağlayan ve kaba kuvvet saldırısı uygulanmasını sağlayan bilgi toplama aracı çeşididir.

• Sandmap; ilgili hedefin sistem ve ağlarını keşfeden ve yaygın bir araç olan nmap’i kullanan bir bilgi toplama aracıdır.

• BruteX; ilgili hedefin SSH gibi protokollerinin kullanılmasına olanak sağlayan ve kaba kuvvet saldırısı uygulanmasını sağlayan bilgi toplama aracı çeşididir

Zafiyet tarama araçları

Zafiyet tarama araçları, kurumun sahip olduğu servisleri, ağ mimarisi bilgisayarları, portları, vb., gibi sistemlerin taranarak var olan güvenlik zafiyetlerini keşfeden araçlardır. Örneğin; Nessus, Nmap, vb. gibi.

• Nmap; kurumun işletim sistemlerinin ve servislerinin tespit edilmesi ve ağ haritasının çıkarılmasını sağlayan zafiyet tarama aracıdır.

• Nessus; kurumun sistemlerinde var olduğu bilinen güvenlik açığını denetleyerek; varsa bu güvenlik açığını oluşturduğu raporun içerisine dahil eder (ORC DANIŞMANLIK, bt).

Ayrıca web üzerindeki güvenlik açıklarını tespit eden ve kurumlarca tespit edilen web güvenlik zafiyetlerini keşfeden araçlarda vardır. Örneğin; Netsparker, Burpsuite, vb.).

Bilgi toplama ve zafiyet tarama araçları kullanılarak; kurumlardaki zafiyetler tespit edilir ve böylece elde edilenler rapor edilerek sızma testleri tamamlanır.

BULGULAR

Yapılan anket çalışmasında KVKK ve GDPR kapsamında kurumların uyum sürecinde uygulamaya başladıkları kanunsal tedbirlerin boyutu ve idrak seviyesi analiz edilmek istenmiştir. Bu minvalde ankette elde edilmek istenen 4 boyut belirlenmiştir.

1.Sektörlerin KVKK ve GDPR kapsamındaki uyum sürecinde aldıkları önlemleri, idrakleri sektör bazlı karşılaştırarak; sektörlerin ne şekilde uyum sağladığını analiz etmek;

2.Kurumlarda BGYS olduğunu belirten firmaların aldıkları önlemleri, BGYS gereği alınması ve yapılması gerekenleri yapıp yapmadıklarını saptamak;

3.KVKK ve GDPR kapsamında firmaların Kişisel Verileri Korumadaki mantığı kavramsal boyutta idrak seviyesini ölçmek;

4.KVKK ve GDPR kapsamındaki uyum sürecinde, bu sürecin desteklenmesi gereken BGYS ‘nin gereklerinden biri olan sızma testi uygulayan firmaların, aldıkları önlem ve tedbirlerin seviyesini analiz etmektir.

Belirlenen bu 4 kapsamda, 38 firmadan bilgi teknoloji direktörlüğü ve alt birimlerinden bilgi güvenliğinden sorumlu yetkililerle görüşülmüş ve anket soruları yanıtlanmıştır. Anket 4 bölümden oluşur. İlk bölümde katılımcıları ve kurumları tanımaya yönelik sorular sorulmuştur. İkinci bölümde ise; kurumların bilgi güvenliği farkındalığını ölçmeye yönelik, üçüncü bölümdeyse; firmalara kavramsal olarak KVKK ve GDPR uyum sürecinde bilmeleri gereken kavramları sorulmuş ve son bölümdeyse; firmaların uğradıkları saldırılar ve bu saldırı çeşitlerine karşı alınan tedbirlerin yeterliliği saptanmak istenmiştir.

Anketin temel problem konuları ile alakalı belirli sorular verilerek yapılan çalışma hakkında bilgilendirme yapılacaktır.

Şekil 1’ de katılımcılara çalıştıkları sektörler sorulmuş ve 38 kişiden 24 kişinin bilişim, 9 kişinin teknoloji, 3 kişinin eğitim ve 2 kişinin endüstri sektöründe çalıştığı tespit edilmiştir.

Şekil 2’de katılımcılara firmalarında bilgi güvenliğine yönelik eğitim, seminer gibi etkinliklerin düzenlenip düzenlenmediği sorulduğunda, 38 firmadan 24’ü evet cevabını verirken; 14 kişinin hayır dediği gözlenmiştir.

Verilen cevaplar doğrultusunda; 24 firmada bilgi güvenliğine yönelik eğitimlerin düzenlenmesi, KVKK ve GDPR uyum sürecinde firmaların aldığı tedbirlerin arasında, çalışanların farkındalıklarını arttırmaya yönelik faaliyet düzenlediği; hayır diyen 14 yetkili kişinin firmalarında çalışanların farkındalığına yönelik bir aksiyon almadıkları söylenebilir.

Şekil 3’de katılımcılara firmalarında Bilgi Güvenliği Yönetim Sistemi mevcut mu diye sorulduğunda, 24 kişi evet derken; 14 kişinin hayır cevabını verdiği gözlenmiştir.

Verilen cevaplar doğrultusunda; BGYS bulunan firma sayısının azlığı KVKK ve GDPR uyum sürecinde firmaların etkin bir şekilde bu süreci disipline edemedikleri görülür. Çünkü bilgi varlıklarının güvenliğinin takibi, kompleks ve karmaşık bir yönetimsel sürece ihtiyaç duyar. Bu nedenle, BGYS 24 firmanın uyum sürecinin kolaylaştırırken, 14 firma bu kolaylıktan faydalanmadığı ifade edilebilir.

Şekil 4’de katılımcılara firmalarında teknolojik altyapılarına uygun önlemler aldığınızı düşünüyor musunuz sorusu sorulduğunda, 38 firmadan yetkili kişilerin 28 evet, 10 hayır cevabı verildiği görülmüştür.

Verilen cevaplara istinaden, teknolojik altyapılarına uygun önlem almadığını düşünen 10 firmanın BGYS bulundurmayan firmalar olduğu düşünülebilir. Çünkü BGYS yönetimsel süreci disipline eden politikalar bütünüdür, bu sebeple yeterli önlem almadığını düşünen firmaların denetimsel bir sürece ihtiyaç duyduğu saptanmıştır.

Şekil 5’de katılımcılara, firmalarında bilgi güvenliğini sağlamak için aldıkları önlemler sorulmuş ve 38 firmadan 23 yetkili kişinin çalışanlara yönelik eğitim cevabını verdiği, 16 yetkili kişinin bilgi güvenliği yönetim sistemi kullandığı, 25 kişinin teknolojik altyapı güçlendirme çalışmaları yaptığı ve 27 kişinin de yedekleme ve felaket kurtarma merkezi bulundurduğu tespit edilmiştir.

Verilen cevaplara istinaden, alınan önlemlere bakıldığında BGYS’yi önemli bir tedbir olarak görenlerin sayısının 16 olması, firmasında BGYS bulunduğunu ifade eden 24 firma olduğu düşünüldüğünde 8 firmanın aslında bu süreci yeteri derecede anlamadığı ifade edilebilir. Ayrıca teknolojik altyapı güçlendirme ve firmaların yedekleme ve felaket kurtarma merkezi bulundurması ise bilgi varlığı kaybı oranını azaltırken; firmaların somut önlemlere daha çok önem verdiği saptanmıştır.

Şekil 6’da firmaların kavramsal olarak KVKK ve GDPR kapsamında kişisel verilerin korunması ne anlama gelir sorusu sorulduğunda, 38 firmadan 16 kişinin kişisel verilerin korunması, 9 kişinin verilerin şifrelenmesi, 10 kişinin verilerin ilişkili olduğu kişilerin korunması diyerek doğru cevap verdiği görülürken; 3 kişinin de verilerde şeffaflığın korunması cevabını verdiği saptanmıştır.

Verilen cevaplara istinaden, doğru cevap verenlerin sayısının 10 olması KVKK ve GDPR uyum sürecinde firmalarda kavramsal noktaları idrakte noksanlıklar olduğu, kişisel verilerin korunması kavramının anlamanın ilgili düzenlemeleri anlama ve uygulama da önemli bir adım olduğu söylenebilir.

Şekil 7’de firmalara KVKK ve GDPR arasındaki temel farklar sorulmuş ve 38 firmadan 5 yetkili kişinin unutulma hakkı diyerek doğru cevap verdiği, 6 kişinin şeffaflık, 4 kişinin hesap verilebilirlik ve 23 kişinin fikrim yok cevabını verdiği görülmüştür.

Verilen cevaplara istinaden, KVKK ve GDPR sürecinde firmaların daha çok kavramsal noktada eksiklikleri olduğu; fikrim yok diyen 23 firmanın olması KVKK ve GDPR arasındaki temel kavramın bilinmediğini ve mantık yürütülemediği ifade edilmiştir. KVKK ve GDPR uyum sürecinde firmaların kavramsal noktalarda yetersiz olduğu düşünülürken, aynı zamanda aradaki temel farklardan birinin de bilinmediği söylenebilir.

Şekil 7. Uygulanan Ankette Firmaların Kavramsal Bilgi Grafiği

Şekil 8’de katılımcılara firmalarında bilgi varlıklarını koruma amacıyla sızma testleri yapılır mı diye sorulduğunda, 38 firmadan 23 kişinin evet, 1 kişinin hayır dediği görülmüştür.

Verilen cevaplara istinaden, kurumlarında BGYS olduğunu ifade eden 24 firmanın 23’ünde sızma testleri yapıldığı, kurumun ihtiyacı olan önlemi sağlamada önemli bir adım olan sızma testi, bu 23 firmanın da bilgi varlıklarını korumaya yönelik gerekli ve yeterli tedbirleri alabileceği söylenebilir.

Şekil 9’da yetkili kişilere kurumlarında en çok karşılaştıkları atak türleri sorulduğunda 38 firmadan 13 yetkili kişinin DDoS saldırısı ile karşılaştığı, 20 kişinin sosyal mühendislik saldırısına uğradığı, 6 kişinin Sql Injection ve 15 firmanın fidye yazılımları ile karşılaştığı tespit edilmiştir.

Verilen cevaplara istinaden, en çok yapılan saldırının sosyal mühendislik saldırısı olması, kurum çalışanlarının aslında saldırıya uğramada en zayıf halka olduğu yapılan bu çalışmada tespit edilirken; kurumların çalışanlarına bilgi güvenliği farkındalığına dair eğitim gibi etkinliklerini vermesi bu saldırıya karşı alabilecekleri en önemli tedbir olduğu söylenebilir.

7. SONUÇ VE DEĞERLENDİRME

Yapılan anket çalışmasında elde edilen veriler sonucu;

• 38 firmadan sadece 24 firmada bilgi güvenliğine yönelik farkındalık eğitimleri verilirken 14 firmada verilmediği ve firmalara yapılan saldırıların belli bir çoğunluğunun zayıf halka olan insana yapıldığı göz önünde bulundurulduğunda bu oranın yetersiz olduğu,

• 38 firmadan 24 firmada Bilgi Güvenliği Sistemi bulunduğu ve 14 firmanın KVKK ve GDPR uyum süreci kapsamında yönetimsel bir süreç olan BGYS'yi kullanma oranının yetersiz olduğu,

• 38 firmadan 28 firmanın teknolojik altyapılarına güvendiği ve 10 firmanın firmanın yetersiz gördüğü tespit edilmiştir. Bu 10 firmada BGYS olmadığı varsayılırsa, yeterli önlem alınmama nedeninin bu sonuca bağlı olduğu,

• 38 firmaya aldıkları teknolojik önlemler sorulduğunda 16 firmanın BGYS'ye dikkat ettiği ve bunun yanında teknolojik önlemler, yedekleme ve felaket kurtarma merkezi ve çalışanlarına farkındalık eğitimleri vermeye de dikkat ettiği ve istenilen tablonun 16 firmada görüldüğü,

• 38 firmaya KVKK ve GDPR kapsamında kişisel verinin korunması nedir diye sorulduğunda, sadece 10 kişinin doğru cevap vermesi ve KVKK ve GDPR arasındaki temel farkın unutulma hakkı olduğu cevabını ise; sadece 5 kişinin doğru olarak cevap vermesi uyum sürecinde firmaların mevcut durumlarının zayıf olduğu,

• 38 firmadan sızma testi yaptıran 23 firma olması, BGYS olduğu cevabını veren 24 kişi olduğu düşünüldüğünde 1 firmanın BGYS gereklerini yerine getirmediği, www.orcdanismanlik.com

• 38 firmaya en çok karşılaştıkları atak türü sorulmuş ve 20 firmadan sosyal mühendislik cevabı alındığı görülmüştür böylece bilgi güvenliğine yönelik firmalarında farkındalık eğitimleri veren 24 firmanın yapılan bu saldırıya binaen kurumlarda eğitim veriliyor oluşu çalışanların farkındalıklarını arttırdığı tespit edilmiştir.

Sonuç olarak; KVKK ve GDPR kapsamında firmaların mevcut durum analizi incelendiğinde, belirlenen 4 yaklaşımda bilişim sektörünün bu konuya daha çok önem verdiği, bilgi güvenliği yönetim sistemi bulunduran firmaların sayısının yetersiz fakat uyum sürecinde uyguladıkları sistemle daha disiplinli bir şekilde süreci ilerlettiği, kişisel veri korunması kavramının anlaşılma oranının düşük olduğu ve saldırılara karşı alınan önlemlerin daha işe yarar olmasını sağlayan sızma testleri yaptıran firmaların sayılarının yetersiz olduğu ve bu yüzden firmaların sistemlerinin ihtiyaç duydukları tedbirleri almada sayıca az oldukları tespit edilmiştir.

Elde edilen bu sonuçlara bakılarak Kişisel Verileri Koruma Kurumu ve diğer ilgili kurumlar tarafından firmalara, kavramlar ve düzenlemeler hakkında eğitim vermeleri gerektiği, KVKK ve GDPR uyum sürecinde firmaların doğru bildikleri yanlışları görmeleri için uyguladıkları BGYS’nin yetkili kurumlar tarafından belirli periyotlarla denetlenmesi gerektiği ve bu denetlemenin ne şekilde gerçekleşmesi gerektiği gelecekteki çalışmaların arasında düşünebilir.

Ülkemizde KVKK ve GDPR uyum sürecinde firmaların mevcut durum analizi üzerine yeterli çalışma olmadığı ve yapılan bu araştırmanın ileride yapılacak olan akademik çalışmalara katkı sağlayacağı düşünülmektedir.

Penetrasyon Testi

Penetrasyon Testi

Hizmetlerimiz

Eğitimlerden haberdar olmak için