Zafiyet Taraması ve Sızma Testi

Çağımızda bilgi güvenliği farkındalığı her geçen gün daha yaygın hale gelip önemseniyor olsa da; bazı temel kavramların birbiriyle karıştırılması sıkça rastlanan bir durumdur. Bugünkü yazımızda “Zafiyet Taraması” ve “Sızma Testi” kavramlarını kısaca ele alıp, aralarındaki farklara değineceğiz.

 

Zafiyet Taraması Nedir?

Zafiyet taraması; bilgisayar sistemleri, uygulamalar ve ağ altyapılarındaki güvenlik açıklarının tanımlanması, sınıflandırılması ve önceliklendirilmesi işlemleri neticesinde, değerlendirmesi yapılan kuruluşa sistemlerine yönelik tehditleri anlamak ve uygun şekilde tedbir almak için gerekli bilgi, farkındalık ve risk altyapısını sağlama sürecidir.

Tehditleri ve ortaya çıkardıkları riskleri tanımlamayı amaçlayan zafiyet taraması, genellikle sonuçları değerlendirme raporunda listelenen ağ güvenliği tarayıcıları gibi otomatik test araçlarının kullanılmasını içerir.

Güvenlik açıkları bilgisayar korsanlarının IT sistemlerine ve uygulamalarına erişmesine olanak sağlayabileceğinden, işletmelerin bu zafiyetleri henüz istismar edilmeden tanımlamaları ve gidermeleri önemlidir. Kapsamlı bir zafiyet taraması kurum/kuruluşların bilgi sistemleri güvenliğini sağlamasında önemli rol oynar.

Zafiyet Taramasının Avantajları:

  • Kurum bilgi sistemlerinde yer alan olası zafiyetleri tespit etmeyi sağlar.
  • İlgili araçlar temin edildiği takdirde kurum personeli tarafından gerçekleştirilebilir.
  • İstenen sıklıkta çalışacak şekilde otomatikleştirilebilir. (haftada bir, ayda bir, üç ayda bir vb.)
  • Sızma testine kıyasla daha az bütçe gerektirir.
  • Taramanın tamamlanması kurum içerisindeki ağ altyapısına göre değişiklik gösterse de, genelde kısa sürer.

Zafiyet Taramasının Eksiklikleri:

  • Yanlış alarmlar (False positives).
  • İşletmeler tekrar tarama yapmadan önce, tespit edilen zafiyetleri manuel olarak kontrol etmelidir.
  • Bir zafiyetin tespit edilmesi, bu zafiyetin istismar edilebilir olduğunu doğrulamaz.

 

Sızma (Penetrasyon) Testi Nedir?

Sızma (Penetrasyon) testi (veya pentest); hedef kurum/kuruluşun bilgisi dahilinde görevlendirilmiş bir veya bir grup “etik hacker”ın hedef sistemde tespit ettikleri güvenlik açıklarını yasalarla belirlenmiş standartlar dahilinde istismar ederek ortaya çıkarmak maksadıyla değerlendirme yaptığı manuel işlemler bütünüdür.

Sistemdeki güvenlik açıklarının belirlenmesiyle; ilgili güvenlik açıklarının sebepleri, bu açıkların kötü niyetli kişi/kişiler tarafından ne şekilde kötüye kullanılabileceği, istismar edilen güvenlik açıklarının hedef sistem üzerinde ne gibi etkiler oluşturabileceği ve mevcut güvenlik açıklarının ne şekilde kapatılabileceğini içeren bilgilerin teknik raporda birleştirilerek hedef kurum/kuruluşa sunulmasıdır. Sızma testini güvenlik açığı taramasından ayıran ana unsur, canlı insan unsurudur. Otomatik sızma testi diye bir şey yoktur. Sızma testleri deneyimli, teknik altyapı sahibi ve kendi alanında uzman personel tarafından yapılır.

Sızma testlerini gerçekleştiren personel en az aşağıdaki konularda uzman seviyesinde bilgi sahibidir:

  • Siyah şapka saldırı yöntemleri (Uzaktan erişim saldırıları, SQL enjeksiyonu vb.)
  • İç ağ ve dış ağ testleri (Hedef sisteme hem sistem yöneticisi, hem de saldırgan perspektifiyle yaklaşabilirler)
  • Web front-end teknolojileri (Javascript, HTML vb.)
  • Web uygulaması programlama dilleri (PHP,Python vb.)
  • Web API’lar (Restful, SOAP vb.)
  • Ağ teknolojileri (Güvenlik duvarları, Switchler, IDS vb.)
  • Ağ protokolleri (TCP/UDP, SSL vb.)
  • İşletim sistemleri (Linux, Windows vb.)
  • Script dilleri (Python, Perl vb.)
  • Test araçları (Nessus, Metasploit vb.)

 

Sızma Testinin Avanjatları:

  • Manuel testler, işletmeler için daha kapsamlı ve doğrulanmış sonuçlar anlamına gelir.
  • Bir sızma testi genelde, ilk test sonucu tespit edilen zafiyetlerin giderilmesi sonrası sistemin tekrar test edilmesini içerir.
  • Tespit edilen zafiyetlerin istimar edilebilirliği manuel olarak sınandığından yanlış alarm risklerini ortadan kaldırır.
  • Yılda bir veya sistem üzerinde önemli bir değişiklik yapıldığı takdirde gerçekleştirilebilir.

Sızma Testinin Dezavantajları:

  • Test süresi hedef sistemin büyüklüğüne göre 1 günden 3 haftaya kadar değişebilir.
  • Uzman personel ve iş gücü gerektirdiğinden zafiyet taramasına kıyasla daha maliyetlidir.

 

Sonuç:

Sızma testinde, manuel çalışmalar otomasyon ile birleştirilerek tarafınıza sunulan raporda yanlış alarmların (false positive) yer almasının önüne geçilir ve sistemleriniz ağ yöneticisi gözünden olduğu kadar, bir saldırgan gözüyle de incelenir.

Zafiyet taramasında, çeşitli olası ağ güvenlik açıklarını ortaya çıkartılır ve müşterinin sistemleri üzerinde oluşturacağı etkiye göre önceliklendirilerek raporlanır.

Günün sonunda zafiyet taraması ve sızma testi, kurum/kuruluş sistemlerinizin güvenliğini sağlamak adına faydalanabileceğiniz farklı hizmetlerdir. Temel farklılıkları anladıktan sonra, kuruluşunuz için doğru kararı verebilir ve bu konuda ihtiyacınız olan hizmeti daha iyi belirleyebilirsiniz.

Fakat unutulmaması gereken nokta; her iki hizmetten de yalnızca sızma testi ve zafiyet taraması arasındaki farkı anlayan ve daha da önemlisi bu farkı müşteriye açık şekilde ifade edebilen yüksek kaliteli bir siber güvenlik şirketi ile sözleşme yaptığınızda yararlanmanın mümkün olabileceğidir.

 

Bizi takip ettiğiniz için teşekkür ederiz. Gelecek yazılarımızda görüşmek üzere.