Hazır Olmak: Sızma Testi Sınav Değil, Derstir

Müşterilerimizle konuşurken en sık
karşılaştığımız tepkilerden birisi “firewall yatırımını yeni yaptık, henüz tam
anlamıyla kuracak imkanımız olmadı, sızma testini konfigürasyon işlemini
bitirdikten sonra yapmakta fayda var
”.
Bu cümlede bilgi güvenliği sektörünün temel
sıkıntılarından ikisini görme imkanımız var.
Hazır
değiliz!
Çoğu kurum sızma testlerini birer sınav gibi
görüyor, hazırlanılması ve iyi not alınması gereken bir sınav ki aslında bu
testler kesinlikle Bilgi İşlem Bölümünün bir sınavı değildir. Sızma testlerinin
yapılmasının nedenleri arasında görebileceğimiz gibi; mevcut güvenlik
seviyesinin ölçülmesi, yapılması gereken iyileştirmelerin ortaya çıkartılması
ve yatırım gerekiyorsa bunların doğru yere ve ihtiyacı karşılayacak şekilde
yapılmalarının sağlanması.

Hayatın gerçeklerine bakacak olursak da zaten
hiçbir saldırganın sizin hazır olmanızı beklemediğini göreceğiz. Hazır
olunmadığını düşünerek sızma testlerini ötelemek geçeğe yatağa yatıp aklınıza
düşen “acaba sokak kapısını açık mı bıraktım?” sorunu yanıtlamak için kalkıp
bakmak yerine “şu anda pijamalıyım, kapıyı açık bıraktıysam komşu beni bu
kıyafetimle görebilir” diye düşünerek uyumaya çalışmak gibidir.
Öncelikle, sokak kapınız açık kaldıysa
endişelenmeniz gereken şey komşunuz değil, hırsızlardır. Dolayısıyla kurum
çalışanları veya sızma testini yapacak BGA ekibinin sisteminizdeki zayıflıkları
veya eksiklikleri görmesinin sizin açınızdan yaratacağı her hangi bir problem
olmamakla beraber, faydası olacaktır. Kaldı ki, ne bilişim dünyasında ne de
gerçek dünyada açık bir kapı gören hırsız sizin kalkıp onu kapatmanızı
beklemez.
Hazır olmadığınızı düşündüğünüz bir zamanda
yaptıracağınız sızma testinin sonuçları gerçek durumunuzu ölçmenizi sağlayacağı
için arzu ettiğiniz güvenlik seviyesine ulaşmak için zannettiğiniz kadar uzun
bir çalışma gerekmediğini de ortaya çıkartabilir.
“İyinin en büyük düşmanı, en iyidir” gibi
felsefi bir cümle hatırladım, doğamız gereği yeterince iyi olmadığını düşündüğümüz
bir çözümü uygulamak yerine en iyi çözümü bulmayı bekleriz. Bu kararsızlık ve
eylemsizlik dönemi ise genellikle en çok zarar gördüğümüz veya fırsatları
kaçırdığımız dönemdir. 
Örneğin, veri sızmalarını ve çalınmalarına karşı
çözümleri müşteriye anlattığım dönemde en çok karşılaştığım soru “peki adam cep
telefonuyla ekranın fotoğrafını çekerse ne olacak?” idi. Evet, fotoğraf çekerse
veri kaybı olur, buna diyecek bir şey yok. Ama kötü niyetli bir kişi fotoğrafla
amacına ulaşabilecek diye yüzlerce iyi niyetli kişinin yanlışlıkla veri
sızdırmasını engelleyecek bir sistemi almaktan vazgeçmek de pek mantıklı değil
sanki. “BGA TIGERS” olarak da tanıttığımız APT değerlendirme testlerinin %100
başarı sağlamasında gördüğümüz kadarıyla ekibimizi durdurabilen herhangi bir
güvenlik çözümü ne yazık ki yok.
BGA olarak müşterilerimize birkaç farklı
seviyede sızma testi hizmeti sunmamızın arkasındaki neden de bu. Güvenliğin bir
amaç veya ulaşılması gereken bir hedef olmadığının bilincindeyiz ve sürekli
iyileştirilmesi gereken güvenlik seviyesinin farklı kademelerinde
müşterilerimizin ihtiyaçlarını karşılayabilmek için bu yolu seçtik. Güvenlik
duvarını yeni almış bir kurumda başlayan “temel sızma testi ve güvenlik
topolojisi danışmanlığı” hizmet yelpazemiz kendini her alanda güvenceye almış
bir kuruma saldırganların buna rağmen sonuca nasıl ulaşabileceklerini gösteren
APT değerlendirme testine kadar uzanmaktadır.
Bu sayede BGA tarafından yapılacak temel bir
sızma testi size yapılması gerekenlerin bir yol haritasını çıkartacağı için
işlerinizi büyük ölçüde kolaylaştıracaktır. Seviyesi ne olursa olsun sızma
testlerinde izlenen yol aşağıdaki gibi olmaktadır.
Görüldüğü gibi BGA sızma testleri güvenlik
seviyesinin sürekli iyileştirilmesine katkı sağlayan ve bu yolda yapılan
yatırımların ve işlerin en az maliyetle ve en verimli şekilde yürütülmesini
sağlayan bir iş modelinin temel yapıtaşıdır.
Sattım
gitti!
“Güvenliği
satmayı” amaç edinmiş birçok firma ile her gün karşılaşıyoruz. Kurumlara
ürünlerini her sorunu çözebilen, hackeri gözünden tanıyan neredeyse mucizevi
cihazlar olarak anlatan bu firmaların bilgi güvenliği konusundaki bilgileri ne
yazık ki tehlikeli düzeyde sınırlıdır. Sınırlı bilgileriyle ve yabancı cihaz
üreticilerinin pazarlama cümleleriyle doldurulmuş bir firma temsilcisi kurumun
yanlış yatırım yapmasına neden olmakla kalmaz, mevcut ve gelecek tehlikelere
karşı kurumun yeterli önlem almasını engelleyebilir. Bunun yanında sattığı
cihazın ayarlarının doğru yapılamayacağını düşünürsek kurumun parasını boşa
harcamış olacağı açıkça görülmektedir.
Sızma testlerinin sağlayacağı bir diğer önemli
katkı ise mevcut güvenlik yatırımlarının en iyi şekilde kullanılması için
gereken değişiklikleri ortaya çıkartmasıdır. Buna verebileceğimiz en güzel
örnek ciddi log toplama yatırımı olan birçok kurumda yaptığımız sızma testleri
sırasında kimsenin ne yaptığımızı fark edememesidir. Yönetici (Admin) yetkili
bir kullanıcı açmamızın bile kimsenin dikkatini çekmiyor olması o konuda
yapılan yatırımın ne kadar verimsiz kullanıldığına iyi bir göstergedir. Log
toplama sisteminin etkin kullanımı ve toplanan loglardan bir hacker’i veya
herhangi bir saldırıyı tespit etme konusunda Log Yönetimi ve Analizi
eğitimimizin çok faydalı olacağını söyleyebiliriz. Bu eğitim hakkında ayrıntılı
bilgi için http://www.bga.com.tr/log-yonetimi-ve-analizi-2/   adresini ziyaret edebilirsiniz.
Log toplama çözümlerinde de olduğu gibi,
güvenlik ürünlerinin kurulumu ve ayarları (konfigürasyon) maalesef yetersiz
kalmaktadır. BGA tarafından yapılacak sızma testlerinin sonucunda mevcut
yatırımınızı daha etkin kullanılmasına yönelik de önemli bilgiler kurumla
paylaşılmaktadır. Cihazları ve yazılımları satan firmaların yapamadığı ancak
satınalınan cihazın temel görevlerini bile yerine getirebilmesi için gerekli
bilgi transferi de bu sayede gerçekleşmiş olur.
Görüldüğü gibi sızma testleri kurumda
güvenliği sağlanmasına yönelik önemli bir adımdır. Testler kendi içlerinde
birer hizmet değil, daha kapsamlı bir sürecin bileşenleri olduğu için hazır
olunması gereken bir sınav olarak değil, yine okul benzetmelerinden devam
ederek, bir ders olarak görülmelidir. Üç veya 6 ayda bir alınacak bir ders
kurumu gerçek sınavlara hazır hale getirecektir. BGA olarak kurumunuzdaki bilgi
güvenliği seviyesinin sürekli iyileştirilmesine ve her geçen gün yenilenen ve
artan siber tehditlere karşı hazır olmanızı sağlamak için her zaman
hizmetinizdeyiz.

Alper BAŞARAN <alper.basaran@bga.com.tr>