Penetrasyon (Sızma) Testi ile siber saldırılardan korunun

Gelecekte varlığını sürdürmek isteyen her şirketin dijital dönüşümü artık bir ihtiyaç değil, zorunluluk. Pandemi ile hızlanan dijital dönüşüm sürecinde ise şirketlerin yapması gereken bilişim yatırımının başında siber güvenlik geliyor. Sağlam bir siber güvenlik stratejisi oluşturmanın yolu da ‘Penetrasyon (Sızma) Testi’nden geçiyor.
Dijital ayak izlerinin takibi, verilerin ele geçirilmesi, Kimlik Avı Saldırıları, Ransomware-Fidye Yazılımlar, Malware-Kötü Amaçlı Yazılımlar, Phishing-Oltalama Saldırıları, sistemin çalışmasını engelleyen DoS (Denial-of-Service) ve DDoS Saldırıları, Man in the Middle (MTIM), Credential Stuffing Saldırıları (Kimlik Bilgisi Doldurma Saldırıları), Password Attack (Şifre Saldırıları), IoT (Internet of Things-Nesnelerin İnterneti) Ağlarına Saldırı, XSS (Cross-Site Scripting-Siteler Arası Kod Çalıştırma), Sosyal Mühendislik, SQL Injections, Cryptojacking, Zero Day Exploit (Sıfır Gün Açığı), Eavesdropping Attack-Telekulak / Gizli Dinleme Saldırısı, Supply Chain Attack-Tedarik Zinciri Saldırısı, Arka Kapı Açıkları (Backdoor), Brute Force (Kaba Kuvvet Saldırısı) gibi siber saldırılara maruz kalan şirketler, 7/24 siber güvenliğini sağlamak zorunda.
Yazılım açıkları, güvenilmez bağlantılar, orijinal olmayan programların da kullanılması, güvenilir şifreler oluşturulmaması, iyi bir BT uzmanı çalıştırılmaması, iyi bir siber güvenlik ağının oluşturulmaması da şirketleri savunmasız bırakan yanlış uygulamaların başında geliyor. Araştırmalar, ekonomilerin belkemiği KOBİ’lerin büyük risk altında olduğunu, giderek siber saldırıların hedefi haline geldiğini, siber saldırıların yüzde 43’ünün küçük işletmelere yapıldığını gösteriyor.
Siber saldırılar 2022’de rekor tazeleyecek: Geçtiğimiz 2 yılda küresel çapta küçük işletmelere yönelik veri ihlallerinin yüzde 152 arttığını belirten uzmanlar, daha büyük organizasyonları hedefleyen saldırılardaki artışın yüzde 75 ölçüldüğünü ifade ediyor.
PwC’nin 66 ülkede yaptığı Dijital Güven Araştırması 2022’de, siber saldırıların 2022’de bir kez daha rekor kıracağı öngörüldü. PwC raporunda 2022’de en çok artacak siber saldırıların bulut platformlara odaklanan saldırılar olduğuna dikkat çekildi.
Fidye yazılımı, kötü amaçlı yazılım, tedarik zinciri ve kurumsal e-postalara yönelik saldırıların da hatrı sayılır biçimde artacağı tahmin edildi. Berqnet Genel Müdürü Hakan Hintoğlu, “Siber güvenlik bugün iş sürekliliğinin ve başarının anahtarına dönüştü. Bir siber saldırının küçük işletmeye maliyetinin ortalama 75 bin avroyu bulduğunu gösteren veriler mevcut” dedi.

Veri ihlallerinin ortalama maliyeti rekor kırdı
17 ülke ve 17 sektörde 550 ihlal üzerinde gerçekleştirilen 2022 Veri İhlali Maliyet Raporu’na göre veri ihlallerinin şirketlere ortalama maliyeti 4.35 milyon dolar. Komtera Teknoloji Satış Direktörü Gürsel Tursun, özellikle sıfır güven mimarisini uygulamayan şirketlerin uygulayanlara kıyasla 1 milyon dolar daha fazla maliyete ulaştığını söylüyor. IBM’in gerçekleştirdiği global ölçekteki araştırmada güvenliği ihlal edilen ya da çalınan kimlik bilgileri ve kimlik avı saldırılarının yarattığı tehditler elde edilen önemli bulgular arasında.
Tursun, siber güvenlik için atılması gereken adımları şöyle sıralıyor: 1) Çalışan eğitimine öncelik verin. 2) Güvenli yama ve güncelleme süreci oluşturun. 3) Kimlik doğrulamalarına başvurun. 4) Hesaplara erişimleri kontrol edin. 5) Verileri yedeklemeyi unutmayın. 6) Mobil cihazların güvenliğini artırın. 7) Profesyonel destek almaktan kaçınmayın.

En çok yaşanan siber saldırı; zararlı yazılımlar
Cisco Talos, 2022’nin 2. çeyreğinde öne çıkan siber tehditleri derledi: Zararlı yazılımlar yüzde 20 ile listede ilk sırada. Geçmiş yıllarda birinci tehdit olarak öne çıkan fidye yazılımlar, yüzde 15’lik oranla 2. sırada. Listedeki diğer siber tehdit türleri ise yemleme/oltalama (phishing), iş e-postalarında güvenlik tehdidi (BEC) ve ileri düzey kalıcı tehditler olarak sıralandı.
En çok hedef olan sektörler; telekomünikasyon, eğitim ve sağlık. EMEA Hizmet Sağlayıcılar ve MEA Siber Güvenlik Direktörü Fady Younes, “Orta Doğu ve Afrika ülkelerindeki kuruluşlar, siber tehditlere açık olan ve güvenliği sağlanması gereken hassas verilerin büyük bir kısmını barındırıyor. Siber saldırıların her geçen gün daha akıllı ve karmaşık hale gelmesiyle kapsamlı siber güvenlik çözümlerine olan talep de artıyor” dedi.

Türkiye’deki suistimal tespitleri 2022’nin ikinci çeyreğinde %20 arttı
Kaspersky Security Network verilerine göre, Türkiye’de 2022’nin ikinci çeyreğinde tespit edilen açıkların sayısı ilk çeyreğe kıyasla arttı. Şirketin güvenlik çözümleri Nisan-Haziran 2022’de 325 bin 344 vaka tespit etti.
Kaspersky Orta Doğu, Türkiye ve Afrika Bölgesi Küresel Araştırma ve Analiz Ekibi (GReAT) Başkanı Dr. Amin Hasbini, şunları söyledi: “Son yıllarda saldırganların sıfırıncı gün açıklarına, yani daha önce satıcılar tarafından bilinmeyen, ev ve kurumsal tüm kullanıcılar için ciddi bir tehdit oluşturan güvenlik açıklarına yönelik artan ilgisini gördük. Bu açıklar, saldırganlara kurbanlarına kolay erişim sağlıyor. Bu nedenle yalnızca sistemlerinizi sürekli güncellemek değil, aynı zamanda bilinmeyen tehditleri proaktif olarak keşfeden güvenlik çözümleri kurmak da önemlidir. Siber güvenlik ekibinize en son tehdit istihbaratına ve düzenli profesyonel eğitimlere erişim sağlamak da aynı derecede önem taşır.”
Şirketleri bir anda milyonlarca dolar zarara uğratabilecek, kamu kurum ve kuruluşlarını ulusal ve uluslararası bağlamda çökertecek ve yok olma tehlikesiyle baş başa bırakabilecek kadar önemli olan siber güvenlik konusunda uzmanlar, şirketlere, kurum ve kuruluşlara, sahip olunan bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanmasının proaktif güvenliğin ilk adımları olduğuna dikkat çekerek,  mutlaka Penetrasyon (Sızma) Testi yaptırmalarını öneriyor.
Penetrasyon (Sızma) Testi’nin sonuçları, siber güvenlik düzeyinin tespit edilebilmesi, güvenlik açıklarının öğrenilip gerekli önlemlerin alınabilmesini sağladığı gibi, siber güvenlik konusunda stratejilerin belirlenmesi ve yol haritasının çizilmesini sağlıyor.
Penetrasyon (Sızma) Testi sırasında, günlük yapılan işlemlerdeki zayıflıklar, güvenlik açıkları, yetkisiz veriye ulaşım, trafik anormallikleri tespit ediliyor ve belirlenen zayıflık ve açıklıkların giderilmesine yönelik önerilen çözümlerin hayata geçirilmesinin ardından güvenlik testi ve doğrulama testi ile sorunların giderilip giderilmediği test ediliyor.

Penetrasyon (Sızma) Testi nedir?
Penetrasyon (Sızma) Testi; (Pentest veya Ethical Hacking olarak da anılıyor): “Alanında tecrübeli ve siber güvenlik üzerine gelişmiş bilgilere sahip uzmanlar tarafından, hackerların kullandıkları araç ve teknikler kullanılarak hedef kurum veya şirkete yönelik gerçekleştirilen siber güvenlik analiz ve atak hizmetidir” diye tanımlanıyor. Bir başka tanıma göre; “Sızma testleri; müşteri tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmaya çalışma işlemlerinin tamamına verilen addır. Sızma testlerinde amaç, güvenlik açıklığını bulmaktan öte bulunan açıklığının değerlendirilip sistemlere yetkili erişimler elde edilebilmesidir.”
Bir diğer tanım ise şöyle: “Penetrasyon Testi, kötü amaçlı bir saldırganın içeriden ya da dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur.” Pen testi’ olarak da anılan Penetrasyon Testi, “Organizasyonun Bilgi Teknolojileri (BT) varlıklarına karşı yapılan bir saldırı simülasyonu aracılığıyla, bir saldırganın suistimal edebileceği açıkları bulmak amacıyla bir bilgisayar sisteminin, bir ağın veya web uygulamasının test edilmesidir” diye de tanımlanıyor.
“Bir saldırganla aynı araç ve teknikleri kullanarak bir BT (bilişim teknolojileri) sisteminin güvenliğinin bir kısmının veya tamamın ihlal edilmeye çalışılmasıyla sistemin güvenliğinin güvence altına alınması” olarak da tanımlanan Sızma Testi’nin amacı; kötü niyetli bir aktör tarafından sömürülebilecek güvenlik açıklarını bulmak.

Penetrasyon Testi / Pentest-Sızma Testi Türleri
1) BlackBox Pentest (Siyah Kutu Penetrasyon Testi): Siyah kutu penetrasyon testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan networke ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır.
2) WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi): Beyaz kutu penetrasyon testi networkteki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden networke girmeye ve zarar vermeye çalışmasının saldırı simülasyonudur.
3) GreyBox Pentest (Gri Kutu Penetrasyon Testi): Gri kutu penetrasyon testi iç networkte bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türü olarak görülür.

İç Sızma Testi nedir?
Yerel ağ sızma testi, kuruluşun dahili ağına bağlı cihazlarla potansiyel bir saldırganın nelere erişebileceğinin tespit edilmesini ve bu güvenlik açıklarının önlenmesini sağlamak için tasarlanmış bir dizi karmaşık saldırı tekniğidir.

Ağ Sızma Testi nedir?
Ana hatları ile hedeflenen sistem ve uygulamaların varlığının tespiti, analizi ve açıklık barındırıp barındırmadıklarının değerlendirilmesi sonrasında istismar (exploit) edilerek sistem ve verilere yetkisiz erişim sağlanması şeklinde uygulanır.

Fiziksel Sızma Testi nedir?
Sızma testi, herhangi bir bilişim sisteminin saldırgan bakış açısı ile zafiyet tespitinin yapılmasının ardından sisteme tam erişimin hedeflenmesiyle testlerin gerçekleştirilmesi ve durumun analiz edilip raporlanması işlemidir.

Web Uygulama Sızma Testi nedir?
Pentest (Sızma Testi) ana hatları ile hedeflenen sistem ve uygulamaların varlığının tespiti, analizi ve açıklık barındırıp barındırmadıklarının değerlendirilmesi sonrasında istismar (exploit) edilerek sistem ve verilere yetkisiz erişim sağlanması şeklinde uygulanır.

KVKK Sızma Testi nedir?
Test edilen sistemlerdeki bilgisayarlar, sunucular, güvenlik duvarları, ağ ekipmanları ve uygulamaların siber güvenlik etkinliklerini değerlendirmek için yetkilendirilen etik hackerlar tarafından yapılan bir saldırı türüdür.

OSSTMM nedir?
OSSTMM (The Open Source Security Testing Methodology Manual) açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenlik anlamında önemli ölçüde güvenlik seviyesini artıracak eyleme geçirilebilir bilgiler sunar.

Sızma Testi çeşitleri
1) Dış Ağ Güvenlik Testleri: DNS (DNS Sunucusunun belirlenmesi. Zone Transferi Testleri. DNS Bruteforce ile kayıtların okunması. DNS Subdomain Tespiti. DNS Cache Zehirleme Testleri). Kurum IP Bloklarının Tespiti. Kurum Whois Bilgisi Tespiti. E-Posta Testleri. İnternete Açık Sistemlerin Haritalanması. Kurum Çalışanlarının Tespiti. Kurum Web Sitesi Bilgi Toplama. Fiziksel Güvenlik Testleri (Sunucu Odası, Çalışma Alanları, Network Altyapısı). Sosyal Mühendislik Testleri. Kablosuz Networke Sızma Testleri. Dışarıya Açık Sistemlerin DOS Saldırılarına Karşı Testleri. Web Yazılımlarının Testleri.
2) İç Ağ Güvenlik Testleri: Networkteki Sistemlerin Tespit Edilmesi. Zayıflık Taraması. IDS, IPS, Güvenlik Duvarı, İçerik Filtreleme&Benzer Güvenlik Uygulamalarının Test Edilmesi. Kurum Güvenlik Politikaları Dahilinde İnternet Erişimlerinin Güvenliğinin Kontrolü. Anti Virüs&Anti Spam Yazılımlarının Kontrolü. Network Dinleme&Şifre Güvenliği Testleri. Şifre Politikası Kontrolleri. Ekran Kilitlenme İlkesi Kontrolleri. Son Kullanıcı Testleri. Dosya Erişim&Kontrolleri. Veri Tabanı Sunucu Testleri.
3)Web Uygulama Güvenlik Testleri: Sızma Testi Operasyonel Süreç: Hedef Tanımlama ve Analiz Teknikleri. Hedef Güvenlik Açığı Doğrulama Teknikleri. Güvenlik Değerlendirme Planlaması.

“Dijital güven oluşturmak bir iş zorunluluğudur”
IDC Türkiye’nin araştırmaları; şirketlerin, 2022’de güvenlik stratejilerini sıfır güven yaklaşımı çerçevesinde gözden geçireceklerini, bilişim teknolojileri altyapılarının güvenliğini güçlendireceğini, operasyonel teknoloji, veri gizliliği ve veri güvenliği alanında yatırımlarını sürdürmeyi planladıklarını ortaya koyuyor.
5. IDC Türkiye Güvenlik Zirvesi’nin sektör liderlerini 22 Eylül’de İstanbul’da buluşturacağını belirten IDC Türkiye Başkan Yardımcısı ve Ülke Direktörü Nevin Çizmecioğulları; şunları söyledi: “Yaşadığımız son on yıl şirketlere birçok ders verdi. Birincisi, siber suçlular ‘iyi bir krizin boşa gitmesine asla izin vermeyin’ söylemini oldukça iyi değerlendiriyor. Bir diğeri, dijital güven kavramının dijital çağda bir iş zorunluluğu haline gelmesi. Tüm bunların merkezinde her zaman olduğu gibi güvenlik var. Gizlilik ve uyumluluktan sürdürülebilirliğe; e-ticaretten güvenilir ekosistemlere, etik ve şeffaflıktan, marka itibarı ve sadakatine kadar güven birçok kavramı kapsar. Dijital güven oluşturmak bir iş zorunluluğudur, ancak işin dokusunun bir parçası olmasını sağlamak için yönetim kurulu düzeyinde liderlik ve yönetişim gerektirmektedir.”

Her CFO’nun siber güvenlikle ilgili sorması gereken 3 soru
Dijitalleşmenin hızlanarak devam ettiği Pandemi sonrasında şirketlerin siber güvenliğe vermesi gereken önemin her geçen gün arttığına dikkat çeken BugBounter, şirketlerinin siber tehditlere karşı sağlam durabilmesi için her CFO’nun şirketinde siber güvenlikle ilgili sorması gereken 3 soruyu sıralıyor: 1) Şirket olarak ne kadar güvendeyiz? 2) Sektörümüzdeki en önemli siber tehditler veya riskler hangileri? 3) Siber güvenlik zafiyetlerini zamanında öğrenmenin potansiyel maliyeti nedir?
BugBounter Kurucu Ortağı ve CEO’su Arif Gürdenli, “Siber sistemlerin şirketlerin en büyük yardımcısı haline geldiği günümüzde bu sistemleri hedef alan siber saldırılar, şirketlere itibar ve finansal kayıplar yaşatıyor. Bu yüzden şirketlerdeki üst yönetimin her an siber saldırılara karşı farkında olması gerekiyor ve siber tehditler sürekli geliştiği için yatırımlara da devam etmek şart haline geliyor” diye konuşuyor.

Penetrasyon (Sızma) testi nasıl yapılır?
Sızma testi, kurumların bilgi teknolojilerini oluşturan altyapı, yazılım, donanım ve uygulama gibi bileşenlerine alanında uzman kişilerce, bir saldırganın (hacker) kullanması öngörülen araç ve teknikleri kullanarak sızılması ve elde edilen zafiyet sonuçlarının raporlanmasıdır.

Sızma Testi aşamaları
Keşif, tarama, erişim kazanmak, erişimi sürdürmek ve izleri temizlemek veya Planlama ve Hazırlık, Uygulama ve Raporlama olmak üzere 3 temel adıma sahip Penetrasyon (Sızma) Testi aşamaları şöyle özetleniyor:
1) Kapsam Belirlenmesi: Müşteri, testin yapılmasını istediği hedefi / kapsamı belirler.
2) Bilgi Toplama.
3) Güvenlik Açığı Tespiti.
4) Bilgilerin Analizi ve Planlama.
5) Sömürü Aşaması.
6) Yetki Yükseltme / Sömürü Sonrası Aşama.
7) Temizlik.
8) Raporlama.