SIZMA TESTİ
Bilgi, içinde bulunduğumuz iletişim çağında bir kurumun en önemli varlıklarından biridir. Bu kapsamda Bilgi’nin temel güvenlik özellikleri olan Gizlilik, Bütünlük ve Erişilebilirlik özelliklerinin korunması çok kritik ve kaçınılmazdır. Bu özelliklerden herhangi birinin zarar görmesi etki seviyesine göre kuruma zarar verir.
Sızma testi, bilgisayar ve ağ güvenliğini dışarıdan veya içeriden yapılan bir saldırı ile değerlendirme yöntemidir.
Belirlenen sistemin veya ağın güvenlik açısından analiz edilmesi ve sistemin güvenlik açıklarının ve güvenlik boşluklarının bulunması, bu açıklardan faydalanılarak sistemlere sızılması. Otomatik tarama araçları ile gerçekleştirilen zafiyet taramaları sızma testinin bir aşamasıdır; ancak sızma testi değildir
Sızma Testi terimleri;
Kuruluş
Sızma testi yaptıran tüzel kişilik.
Firma
Sızma testi yapan tüzel kişilik.
Hizmeti aksatma testi (DOS)
Hedef sistemin kaynaklarının ya da bant genişliğinin meşgul edildiği saldırılardır.
Politika
Yönetim tarafından resmi olarak genel niyetin ve yönün ifade edilmesi.
Üçüncü taraf Söz konusu olan konu ile ilgili, taraf bakımından bağımsız olarak kabul edilen kişi ya da kuruluş. [ISO/IEC Guide 2:1996]
Tehdit
Bir sistem veya kuruluşta zarara neden olabilecek istenmeyen bir olayın potansiyel nedeni.
[ISO/IEC 13335-1:2004]
Zayıflık
Bir veya birden fazlar tehdit tarafından istismar edilebilecek bir veya bir grup varlığın zayıf noktaları.
Sızma testlerinin kuruluşlara yararları nelerdir?
-
Belirli bir saldırı vektör kümesinin olabilirliğinin belirlenmesi,
-
Belirli bir sıralamada kullanılan düşük riskli açıklıkların bir kombinasyonundan kaynaklanan yüksek riskli açıklıkların tespit edilmesi,
-
Otomatize ağ veya uygulama açıklık tarama yazılımları ile tespit edilmesi güç veya imkânsız olan açıklıkların tespit edilmesi,
-
Başarılı saldırıların, olası iş etkisi ve işletimsel etkilerinin büyüklüğünün anlaşılması ve değerlendirilmesi,
-
Ağ koruma cihazlarının ve uygulamalarının saldırıları başarı ile tespit etme ve karşılık verme kabiliyetlerini test etme,
-
Güvenlik personeli ve teknolojisine yönelik artan yatırımlara gerekçelendirme sağlanması
Sızma testi hangi aralıklar ile yapılmalıdır?
Sızma testleri genellikle tam güvenlik denetimlerinin bir parçası olmakla beraber (örneğin; PCI DSS standardı hem yıllık olarak hem de devamlı olarak (sistem değişikliklerinden sonra) sızma testi gerektirmektedir. Benzer şekilde, ISO/IEC 27001:2005 standardı kapsamı dâhilinde sızma testi yapılması gerekmektedir) tek başına da yapılabilir.
Sızma testi türleri nelerdir?
-
Beyaz kutu
Beyaz kutu ağ’daki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Test uzmanının dışarıdan ya da içeriden ağa girmeye ve zarar vermeye çalışmasının simülasyonudur.
-
Siyah kutu
Siyah kutu testi saldırı yapılacak ağ hakkında hiçbir bilgi sahibi olmadan dışarıdan ağa ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanmasını sağlar.
-
Gri kutu
Gri kutu testi iç ağda bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve ağ paket kaydedicilerine karşı ağ zayıflıkları denetlenir
Sızma Testi Aşamaları nelerdir?
-
Planlama
-
Uygulama
-
Raporlama
Sızma Testi personel yetkinlik şartları ;
Sızma testlerinin başarılı bir şekilde gerçekleştirilmesinde en temel etken uzmanlık olduğundan dolayı testlerin kalitesinde ve tutarlılığında en önemli kriter de testi yapan personelin uzmanlık seviyesi olarak görülmektedir.
Stajyer Sızma Testi Uzmanı (ST.S.T.U.)
Kayıtlı Sızma Testi Uzmanı (KA.S.T.U.)
Sertifikalı Sızma Testi Uzmanı (SE.S.T.U.)
Kıdemli Sızma Testi Uzmanı (KI.S.T.U.)
Sızma Testi uzmanlarının eğitim, sınav ve belge geçerlilik süreleri ne kadardır?
Sertifikalı Sızma Testi Uzmanı, Kayıtlı Sızma Testi Uzmanı, Sertifikalı Sızma Testi Uzmanı ve Kıdemli Sızma Testi Uzmanı için eğitim, sınav ve belge geçerlilik süreleri 3 (üç) yıldır.
FİRMA YETKİNLİK ŞARTLARI
Aşağıdaki çizelgede personel sayıları ve uzmanlıkları temelinde firma seviyeleri ve ISO/IEC 27001:2005 şartı olup olmadığı verilmiştir.
Firma seviyelerini neye göre belirlenmektedir?
A, B ve C seviyelendirmesi firmaların personel kapasiteleri göz önüne alınarak yapılmıştır. Bu seviyelendirme ile sızma testi yaptıran kuruluşların kendi büyüklüklerine uygun firmaları tercih edebilmesi amaçlanmaktadır.
Gizlilik ve kayıt saklama şartları nelerdir?
-
Sızma testi ile ilgili gerek kuruluş tarafından doldurulan anket, form vb. dokümanlar gerekse firma tarafından üretilen sızma testi sonuç raporu vb. dokümanlar gizlilik derecesine haiz dokümanlardır. Bu tür dokümanlar üretim, kullanım ve saklama aşamalarında hassasiyetle ele alınmalı ve çalınma, yetkisiz erişim, kaybolma vb. risklere karşı korunmalıdır.
-
Test raporlarının saklanmasında kuruluşunun görüşü alınmalı ve buna göre hareket edilmelidir. Önceki yapılan testlere ait raporlar saklanacak ise, bu raporlar firma personelinin taşınabilir bilgisayarlarında veya taşınabilir ortamlarda (harici disk, flash disk vb.) bulundurulmamalı, gerek yazılı kopyaları gerekse elektronik kopyaları mutlaka güvenli bir ortamda saklanmalıdır.
Firma Kapanırsa Sızma Testi ne yapılmalı?
Firma yasal olarak faaliyetlerine son vermesi durumunda, kendisinde bulunan sızma testi sonuç raporlarını geri dönülemez şekilde imha etmelidir.
Sızma testi işlemlerinde Yabancı personel çalıştırılır m?
Kamu kurumlarında ve kamu kurumu niteliğindeki kurumlarda test yapacak personellerde Türk vatandaşı olma ve kamu haklarından mahrum bulunmama şartları aranır.
Yabancı Personel hangi durumlarda çalıştırılır?
Özel durumlarda (yurtiçinde belli bir alanda uzman bulunamıyor ise vb.) yabancı uzman çalıştırma yoluna gidilebilir fakat firmanın bunu net bir şekilde ve delilleri ile gerekçelendirebilmesi gerekmektedir.
Sızma testin kanunlara ve mevzuata uyumu nedir?
Testler yasadışı araçları veya yöntemleri içermemelidir. Örnek: DDOS için Botnet kiralama vb. Ayrıca; testler esnasında kuruluş ile sözleşmede veya teknik şartnamede belirlenmiş olan kapsam dışına kuruluşun yazılı izni olmadan çıkılmamalıdır.
Sızma testleri esnasında firma, sadece kuruluşa ait içeriklere erişim sağlanabildiğini göstermeli, bunun dışında kuruluşa ait içeriklerin tamamına erişim sağlayarak tüm içeriği kopyalamamalı ve üçüncü taraflar ile paylaşmamalıdır. Firmanın içeriklere erişim sağlandığını gösterebilmesi için gerekiyorsa örnek olarak birkaç kayıt kopyalayabilir.
Program kapsamında yetkilendirilen personeller için taahhütname, firmalar için ise belge kullanım sözleşmesi imzalanacaktır. Yetkilendirilmiş personel ve firmalar imzaladıkları taahhütname ve sözleşmedeki şartlara uymadıkları takdirde yetkilendirme belgeleri TSE tarafından geri alınır