Bu yazıda Bilgi Güvenliği uzmanlarının gündemindeki önemli iki kavramdan bahsedeceğiz. Bilgi Teknolojileri ile ilgileniyorsanız veya Güvenlik ile ilgili merakınız varsa mutlaka bu iki kavramı duymuşsunuzdur. Penetration Test ve Vulnerability Assessment genellikle karıştırılan iki kavramdır.
Resim-1
Şimdi bu kavramları bir inceleyelim.
Vulnerability Assesment (Zafiyet Taraması)
Zafiyet taraması bir sistemdeki muhtemel tüm açıkların belirlenmesine yönelik tasarlanmış bir testtir. Zafiyet taramasında amaç taranan sistemin genel güvenlik görüntüsünü almaktır. Zafiyet taraması muhtemel tüm güvenlik tehditlerine karşı sizi uyarır. Zafiyet taraması raporunda çıkan tüm bulgular ciddi bir tehdidi göstermeyebilir. Örnek vermek gerekirse bir IIS sunucunda yapılan taramada sunulan bir web hizmeti http olabilir. http protokolünün güvenli şifrelenmiş versiyonu bildiğimi üzere https dir. Dolayısı ile bir sitede http yerine https kullanmak zafiyet taramasında bir bulgu olarak gözükebilir. Fakat siz o hizmeti http sunmak zorunda olabilirsiniz. Gerekli güvenlik önlemleriniz var ise bu sizin için ciddi bir tehdit değildir.
Yukarıdaki örnekteki gibi tüm protokoller, verilen her hizmette şifrelenmiş olmak durumda değildir. Ama bu durum Zafiyet taramasında bir bulgu olarak gözükebilir. Dolayısı ile Zafiyet taraması sistemle ilgili oluşabilecek tüm güvenlik risklerini bize sunan bir güvenlik taramasıdır.
Tabi bu zafiyet taramasının ciddiye alınmaması gibi bir durum ortaya koymaz. Zafiyet taramasında çıkan tüm bulguların dikkatli bir şekilde incelenmesi gerekir. Bu tehditlerden hangisi bizim sistemimizde gerçek bir risk oluşturuyor buna kara verilmesi gerekir.
Zafiyet taramasında denetlenen bir diğer şey ise uyumluluk süreçleridir. Zafiyet taraması firmaların PCI, SOX, HIPPA vs. gibi dünyaca kabul edilmiş birçok uyumluluk standartlarına göre durumunu da inceler. BT ortamınız bu uyumluluklardan geçecekse bu taramaların mutlaka yapılıp sistemin durumu hakkında fikir sahibi olmak ve gerekli önlemleri almak gerekir.
Resim-2
Penetration Test (Sızma Testi)
Sızma testi, zafiyet taramalarına göre biraz farklıdır. Aslında teknik olarak sızma testleri zafiyet taramalarının bir sonraki aşamasıdır. Zafiyet taramasında bulunan güvenlik risklerinin değerlendirilip bu bulgulardan hangisinin gerçek ve ciddi bir tehdit oluşturduğunu bulmak sızma testtir.
Aslında sızma testi bir hacker gibi davranıp hackerların saldırı düzenlerken kullandığı tüm adımların kullanılıp gerçek bir saldırıymış gibi sisteme saldırıp sistemin hangi zaaflarının değerlendirilebilir olduğunu öğrenmektir. Buradaki tek fark Sızma Testinin piyasada bilinen tüm zaaflara karşı o sistemin elden geçirilmesidir. Dolayısı ile Sızma testinde tek bir güvenlik zaafından değil birçok zaaftan sistem teste tabi tutulur.
Sızma testi günümüzde piyasada bulunan Metasploit, Saint, Core Impact gibi birçok otomatize araç ile yapılabilirken manuel olarak farklı araç setleri kullanılarak da yapılabilir. Gerçek verimli sistemin tüm açıklarının değerlendirilmesinden bahsediyorsak sızma testi mutlaka farklı yöntem, araç ve teknikler kullanılarak yapılmalıdır.
Bilgi Güvenliğindeki Sızma testi ile birçok şekilde birçok şekilde yapılmaktadır. Burada bu hizmeti alırken dikkat edilmesi gereken en önemli şey Sızma Testinin bir program al taramayı başlat sabah gel raporu al şeklinde olmamasıdır. Bu günümüz Güvenlik Piyasasında yapılan en önemli hatalarından birisidir.
Örneklendirmek gerekirse, genellikle piyasada Lync Server’ın Mediation Server rolü ile Media Gateway i arasındaki hat standart TCP olarak yapılandırılır. Bu Lync sistemi üzerinden yapılan aramalar için oldukça riskli bir durumdur. Bu network alanına giren bir saldırgan bu networkü hiçbir aktif işlem yapmadan sadece sniff ederek konuşma verileri ele geçirebilir.
Başka bir örnek verecek olursak, Zero-Touch Deployment yapan bir SCCM ortamında şifre kullanılmamış ise herhangi birisi veya saldırgan networkünüze bir sanal makine takıp F12 ile kurumsal PC imajlarınızı ele geçirebilir.
Yukarıdaki örneklerde bahsedilen teknoloji spesifik veya farklı birkaç kontrol noktasını hazır tarama yapan cihazlar tarayamazlar. Dolayısı ile etkili bir sızma testi uçtan uca teknolojiyi tanıyan onu manupile edebilecek bilgili ve konusunda uzman ekipler tarafından gerçekleştirilmelidir.
Firmalar farklı periyodlarda mutlaka zafiyet taraması ve sızma testlerini gözden geçirmeli aynı zamanda yeni teknoloji implementasyonlarında güvenlik uzmanlarının görüşleri alınarak operasyonlar gerçekleştirilmelidir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Eline saglik Onur bu guzel paylasim icin.