Sızma Testi ( Penetrasyon Testi )

Sızma (Penetrasyon) Testi

Çeşitli bilişim sistemleriniz gerçek bir hacker gözüyle analiz edilerek tüm zafiyetler ortaya çıkarılır ve sızma simülasyonlarıyla da doğrulamalar yapılarak güvenliğin sağlanmasına oldukça katkı sağlar.

White Box

Sızma Testi Uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar simüle ve raporlanır.

Black Box

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece hedef sistemler belirtilir. Bilgi sızdırmak ya da çeşitli zararlar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak, sistemlere verilebilecek zararlar simüle edilir ve raporlanır.

Grey Box

White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Grey Box’ta ek olarak düşük yetkilerle sisteme sızma denetimleri gerçekleştirilir.

Red Teaming

Red Teaming, güvenlik tutumunuzu geliştirmek için hackerların kendi kullandıkları ileri seviye taktikler, teknikler ve prosedürler (TTP) ile kendi sistemlerinize hedef alınmış saldırı simülasyonudur. Red teaming ile bir hacker gözünden hedef alınarak, kurumunuza fizikselden dijitale ve/veya dijitalden fiziksele doğru bir siber atak organize edilmiş olunur.

Güvenlik ekibinizi dahil edebileceğiniz geniş kapsamlı saldırılarla önemli sorulara yanıt alırsınız:

Güvenlik sistemleriniz gerçek tehditlere karşı önleme, tespit etme ve karşılık vermede ne derece hazırlıklı?
Güvenlik ekibiniz hedef alınmış bir saldırıyla nasıl başa çıkıyor?
Kurumunuzun siber saldırılara karşı savunma kapasitesini nasıl artırabilirsiniz?
Ağınızdan veri sızdırıldığında ekipleriniz bu veriyi fark edebiliyor mu?
Zararlı enfekte edilmiş bir USB sürücü sunulması durumunda, .eşitli görevlerdeki çalışanlar bu zararlı cihazları bilgisayarlarına bağlıyor mu?

… gibi sorulara cevap arayacak şekilde tasarlanır.

Red Teaming Metodolojisi

Red team operasyonları, dünya çapında kabul görmüş ve endüstri standartlarını kullanarak tutarlı bir şekilde yürütülmelidir. Sağlıklı bir operasyon gerçekleştirmek için endüstri standartlarını temel alıp kullanılmalıdır. Bu standartlardan bazıları aşağıdaki gibidir:

NATO Cooperative Cyber Defence Centre of Excellence, (NATO CCDCOE)
- Seccops ekibi, ülkemizi temsilen NATO CCDCOE tatbikatına katılım sağlamıştır.
ABD Ordusu Red Team El Kitabı v7, (US Army Red Teaming Handbook)
The Penetration Testing Execution Standard, (PTES)

Red Teaming Hizmetinin Standart Sızma (Penetrasyon) Testlerinden Farkı Nedir?

Günümüzün güvenlik endüstrisinde Red Teaming ve Sızma (Penetrasyon) Testi terimleri eş anlamlı olarak kullanılabiliyor. Bu iki hizmet bazı ortaklıkları paylaşsa da, gerçekte, yaklaşım ve sonuç bakımından büyük ölçüde farklılık gösterirler. Penetrasyon testleri hizmeti tek başına eksiksiz bir güvenlik analizi sağlayamamaktadır. Penetrasyon testleri gerçekleştirilirken tüm bilgi teknolojilerinin ekibinin bilgisi vardır ve testler kontrollü şekilde gerçekleştirilir. Red Teaming hizmetinde ise operasyonun gerçekleştirileceği bilgisi yalnızca önceden belirlenmiş bir veya iki yönetici ile sınırlıdır. Operasyon bilgi teknolojileri ekibinden bağımsız yürütülür. Böylece kurumun insan kaynağının da (güvenlik ve IT birimleri) hedeflenmiş bir saldırıya karşı ne kadar etkin olduğu ortaya çıkartılacaktır. Bu sürece “siber güvenlik tatkbikatı” da denebilir.

Red teaming, gerçek dünyadaki saldırıların teknik, taktik ve prosedürleri (TTP) üzerinden gerçek dünya saldırılarını simüle ederek geleneksel sızma testlerinin çok ötesinde ve üzerinde bir çalışma sağlar. Bu çalışma esnasında, birçok kuruma özel geliştirilen yazılımlar ve genele açık yazılımlar kullanılmakla birlikte, bir takım donanımsal araçlar da kullanılmaktadır.

SCADA SIZMA TESTİ

SCADA sistemleri genelde uzun yıllar boyunca çalışacak bir tasarıma ve çok sınırlı hizmet kesintilerine tahammül edebilecek bir yapıya sahiptirler. Ayrıca doğası gereği oldukça önemli hizmetlerin kontrolünü gerçekleştirmektedirler. Bu durum saldırganların motivasyonlarını son 10 yılda SCADA sistemlerine doğru çevirmiştir. Saldırganlar, verilerin ifşa edilmesi veya imha edilmesi gibi sınırlı etkilerin yanında tesisin kontrolü ile üretimi kesintiye uğratmak, ekipmanlara ve çevresine fiziksel zarar vermek gibi birçok etkiyi de ortaya çıkarabilir.

Red Team ekibi SCADA sistemleri üzerinde bilinen zafiyetler başta olmak üzere inceledikleri sistemlere özel olarak yapıya özel birçok güvenlik testini gerçekleştirir. Bu güvenlik testleri için global standartları referans almaktadır. Testleri ve raporlama süreçlerini EPDK uyumlu olarak gerçekleştirmektedir.