Neden Manuel Sızma Testi?
Sızma testi(pentest, penetraiton test) nedir, ne değildir bir çoğumuzun bildiği ve üzerinden çokca blog yazısı bulunan bir konu aslında. Bu blog yazısında asıl değinmek istediğim husus, otomatik araçlarla veya robotlarla yapılan testlerle bir uzmanın manuel olarak yaptığı testlere dikkat çekmek.
Sızma testi konuşulduğunda veya teklifler alındığında, hep karşılaşılan durum şudur ki teklif veren herkes aynı amacı gerçekleştirecek olup, sızma testi yapılacak. Bundan yana bir şüphemiz yok. Amaç bu testin öyle veya böyle gerçekleştirilmesidir. Tekliflerin adı sızma testi, zafiyet testi değil çünkü amaç sızma testinin yapılmasıdır. Böylece ISO27001, KVKK gibi standartlara/kanunlara karşı sorumluluklar da yerine getirilmiş olacak.
Peki, sızma testi nasıl yapılacak...?
Otomatik yapılan testler ne kadar faydalı?
Otomatik yapılan testler, çok fazla uzmanlık gerektirmeyen, hızlı ve kolay bir şekilde yapılabiliyor.Otomatik testlerde yanlış alarm (False positive) ihtimalleri ele alınması gereken hususlardan birisidir.
Otomatik testler aslında daha önceden hazırlanmış scriptler aracılığıyla giriş noktalarının (input) tespit edilip denenmesini sağlıyor. Örneğin:
SQL Injection, XSS, Directory Traversal gibi zafiyetleri bulmak için daha önceden kendisinde tanımlanmış ve bildiği istismar kodlarını (payload) denemeye başlıyor. Bu denemeleri yaparken hedef sistemde en temelinden bir Web güvenlik duvarı (WAF, Web Application Firewall) varsa, yapılan bütün denemeleri engelliyor, hatta deneme yapılan ip adresinide engelleyebiliyor. Sonuç: Web güvenlik duvarınız (WAF, Web Applicaiton Firewall) çok iyi çalışıyor hemen bizi engelledi, sisteminizde zafiyet yok denilebiliyor. Büyük hata! (Big mistake).
Otomatik yapılan testlerde iş mantığı hataları ve güvensiz doğrudan nesne erişimi gibi zafiyetlerde istismar kodu mantığı olmadığı için anlaşılamaz ve tespit edilemez.
Bir siber saldırganın (bilgisayar korsanı) hedefe nasıl yaklaştığı, nasıl analiz ettiği, kendisine göre farklı yollar ve yöntemler düşünerek, özel araçlar hazırladığı ele alınırsa otomatik testlerin bu taktik ve yöntemlerden yoksun olduğu ortadadır.
Gelelim manuel testlere
Manuel sızma testi, ne kadar deneyime sahip olduklarına bağlı olarak kişiden kişiye, şirketten şirkete farklılık gösterebilir.
Büyük firmalar, 10 yıllık tecrübeli uzmanlarıyla birlikte toplantıda biz hem manuel hemde otomatik testler yaparak sizlere fayda sağlıyoruz diyebilir. Ben burada test yaptırmak isteyen firmalara şunları söylemek istiyorum. Firma çok büyük ve tanınmış olabilir. Peki size sızma testi yapmaya gelecek kişi kimdir?
Manuel sızma testi, her yapıldığında farklı sorunlar ve zafiyetlerin ortaya çıkmasını sağlamakla birlikte yanlış alarm (False positive) ihtimalini en aza indirecektir.
Manuel sızma testi, testi yapan uzmanın deneyimine bağlı olarak sıfırıncı gün (zero day) zafiyetlerinin ortaya çıkmasına olanak tanır.
Manul sızma testinde, keşif aşamasından(recon) sistemin istismar edilmesine(Exploit) kadar manuel müdahale gerektiren aşamalar vardır. Böylece sızma testinin daha etkili ve verimli sonuçları olacaktır.
Siber saldırılar gün geçtikçe daha karmaşık hale geliyor. Bu nedenle manuel sızma testi çok önemli olduğu kadar, düzenli olarak en azından yılda bir defa yapılması da gerekmektedir.
Sisteminizin alt yapısını, donanımını, yazılımını ve güvenliğini kurgularken, güvenlik ihtiyaçlarınızı antivirüs ve güvenlik duvarından ibaret olmadığını ele alarak bütçe oluşturmalı ve bu bütçeye tüm sisteminizi test etme maliyetlerini de eklemeyi unutmamalısınız.
Amacım her şeyi şeffaf bir şekilde ortaya koymak ve test yaptırmak isteyen firmalara fayda sağlamak.
Son Söz
Manuel sızma testi, otomatik yapılan testlerden daha etkilidir.
