Sızma Testi (Pentest) Metodolojisi
Sızma testi, bilişim sisteminin herhangi bir bölümüne saldırgan tarafından sisteme sızılabilmesini öngördüğü zafiyeti bulmaya çalışan uzmanlar tarafından yapılan saldırı similasyonuna ve similasyonun sonunda analiz edilip raporlanması işlemine sızma testi denilmektedir. Sızma testine; Pentest veya Penetrasyon testi de denilmektedir.
Penetrasyon testlerinde daha önceden denenmiş olan ve belirli kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar üzerindeki başarı oranlara önemli derecede artış göstermektedir.
Sızma Testi Standartları Sızma testi ve güvenlik denetimleri için bazı standartlar belirlenmiştir.
OWASP, OSSTMM, ISSAF, NIST SP800-115, PTES, Fedramp bu standartların en çok bilinenlerindendir. İnternet üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi metodolojileri vardır.
- OSSTMM (The Open Source Security Testing Methodology Manual):
OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Ağ penetrasyon testi ve güvenlik açığı değerlendirmesi için bilimsel bir metodoloji sunmaktadır. Bu test, uzmanların bir ağdaki çeşitli potansiyel saldırı açılarından güvenlik açıkların tanımlamaları için kapsamlı bir kılavuz içerir. Bu metodoloji, test cihazının derinlemesine bilgi ve deneyimin yanı sıra tanımlanan güvenlik açıklarını ve ağ içindeki potansiyel etkilerini yorumlamak için insan zekasına dayanır yani OSSTMM metodolojisi ile test uzmanlarının değerlendirmelerine olanak tanır. Bu standart setiyle, ağınızın siber güvenliğinin yanı sıra, ağları güvenceye almak için doğru kararları vermesine yardımcı olmak üzere teknolojik bağlamınıza uyarlanmış güvenilir çözümler hakkında doğru bir genel bakış elde edebiliriz.
Güvenlik kılavuzlarının çoğundan farklı olarak, bu kılavuzun içerisinde ağ geliştirme ekiplerini desteklemek için de oluşturulmuştur. Bu kılavuz belirli bir ağ protokolünü veya yazılımını savunmasa da, ağlarımızın güvenliğini sağlamak için en iyi uygulamaları alınması gereken adımları açıklar.
OSSTMM bölümleri şu şekilde sıralanır.
1. Operasyonel güvenlik adımları
2. Güven analizi
3. İş akışı
4. İnsan güvenliği testi
5. Fiziksel güvenlik testi
6. Kablosuz güvenlik testi
7. Telekomünikasyon güvenlik testi
8. Veri ağları güvenlik testi
9. Uyum mevzuatı
10. STAR (Güvenlik Testi Denetim Raporu) ile raporlama
- OWASP (Open Web Application Security Project):
Uygulama güvenliği ile ilgili tüm konularda en çok bilinen standarttır. Bu kılavuz yalnızca web ve mobil uygulamalarda yaygın olarak bulunan güvenlik açıklarını değil, aynı zamanda güvenli olmayan geliştirme uygulamalarından kaynaklanan karmaşık mantık hatalarını tanımlayabilen uygulama sızma testi için bir yöntem sağlar. Güncellenmiş kılavuz, her bir sızma testi yöntemi için kapsamlı yönergeler sunar ve toplamda 66’dan fazla kontrol ile test cihazlarının bugün modern uygulamalarda bulunan çok çeşitli işlevler içindeki güvenlik açıklarını tanımlamasına olanak tanır.
11 ana başlık altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır. Bunlar;
1. Bilgi toplama
2. Yapılandırma ve dağıtım yönetimi testi
3. Kimlik yönetimi testi
4. Kimlik doğrulama testi
5. Yetkilendirme testi
6. Oturum yönetimi testi
7. Giriş doğrulama testi
8. Hata giderme testi
9. Zayıf kriptografi testi
10. İş mantığı testi
11. İstemci tarafı testi
- NIST SP800-115
NIST, kuruluşlar tarafından güvenli bilgi güvenliği uygulamaları geliştirmek ve güvenlik testi yapmak için kullanılabilecek kalite ilkelerine sahip standartlar bütünüdür.
NIST SP800-115 kapsamlı bir rehber değildir, organizasyonları teknik bilgi güvenliği testlerini planlama değildir, ancak organizasyonları teknik bilgi güvenliği testlerini planlama ve yürütme bulguları analiz etme ve iyileştirme stratejileri geliştirme konusunda yönlendirir. Diğerleri penetrasyon standartlarından farklı olarak, penetrasyon test cihazlarının izlemesi için daha spesifik yönergeler sunar.
NIST kılavuzu; bankacılık, iletişim ve enerji de dahil olmak üzere farklı endüstrilerde bilgi güvenliğini garanti altına almaya odaklanmıştır. Beş ana başlıktan oluşur. Bunlar;
1. Hedef tanımlama ve analiz teknikleri
2. Hedef güvenlik açığı doğrulama teknikleri
3. Güvenlik değerlendirme planlaması
4. Güvenlik değerlendirme faaliyetleri
5. Test sonrası faaliyetler
- PTES (Oenetration Testing Execution Standart)
Bu standart, test cihazlarını ilk iletişim, bilgi toplama ve tehdit modelleme aşamalarını içeren bir penetrasyon testinin çeşitli adımlarında yönlendirir. Bu penetrasyon testi standardı sayesinde test uzmanları, potansiyel olarak savunmasız alanlardan faydalanmaya odaklanmadan önce kendilerini organizasyon ve teknolojik bağlamıyla tanıştırırlar ve bu da denenebilecek saldırıların en gelişmiş senaryolarını belirlemelerine olanak tanır. Test kullanıcılarına ayrıca, daha önce tanımlanan güvenlik açıklarının başarılı bir şekilde giderildiğini doğrulamalarını sağlamak için, gerekirse sömürü sonrası test yapma talimatı da verilir. Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:
1. Ön Sözleşme
2. İstihbarat toplama
3. Tehdit Modellemesi
4. Güvenlik Açığı Analizi
5. İstismar Süreci
6. İleri Sömürü Aşaması
7. Raporlama
· ISSAF (Information System Security Assement Framework)
ISSAF standardı, penetrasyon testine önceki standarttan daha da yapılandırmış ve özel bir yaklaşım içermektedir. Sızma testinin yapılacağı kurumun benzersiz durumu, tamamen içeriğine göre kişiselleştirilmiş gelişmiş bir metodoloji gerekiyorsa bu standart sızma testi uzmanlara yol gösterici niteliktedir. Daha ayrıntılı olan değerlendirme bölümü, prosedürün önemli bir bölümünü yönetir. Sisteminizin savunmasız her alanı için, ISSAF bazı tanımlayıcı bilgiler, çeşitli saldırı vektörleri ve bir güvenlik açığından yararlanıldığında bu alanları hedeflemek için yaygın olarak kullanıcıları gerçek saldırganların bu alanları hedeflemek için yaygın olarak kullandıkları araçlar hakkında da bilgi bulabilirler.
1- Planlama ve hazırlık
2- Değerlendirme
3- Raporlama, temizleme ve yok edilmesi
• FedRamp (Penetration Test Guidance Federal)
Federal Bilgi Güvenliği Yönetimi Yasası’nın (FISMA) bulut bilişim hizmetlerine nasıl uygulandığını standartlaştırmak için oluşturulan ABD hükümet programıdır. Bulut tabanlı hizmetlerin güvenlik değerlendirilmesi ve sürekli izlenmesi için bir metodoloji sunar.
Ana bölümleri şunlardır:
1. Bilgi toplama ve keşif aşaması
2. Web uygulama ve API test bilgisi toplama ve keşif aşaması
3. Mobil uygulama bilgi toplama ve keşif aşaması
4. Ağ bilgi toplama ve keşif aşaması
5. Sosyal mühendislik bilgi toplama ve keşif aşaması
6. İç ağ bilgi toplama ve keşif aşaması
7. İstismar aşaması
8. İleri sömürü aşaması
9. Raporlama
Kaynaklar:
https://www.isecom.org/OSSTMM.3.pdf
www.owasp.org/index.php/Testing_Checklist
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800
https://www.vumetric.com/blog/top-penetration-testing-methodologies/
https://untrustednetwork.net/files/issaf0.2.1.pdf