Sızma Testleri İlaç mı Reçete mi?

Sızma
testi
Belki de hatayı bizler yaptık. Sızma testinin
gerekliliğini ve amacını anlatırken istemeden bir soruna neden olduk gibi
geliyor. Sektörün dışından örnek vereyim. Karnınızda bir ağrı var, geçecek gibi
değil… doktora gidiyorsunuz, muayene ediyor ve size bir reçete yazıyor
(korkacak bir şey yok; Ankara tavayı fazla kaçırmışsınız). Teşekkür edip eve
gidip yatıyorsunuz… İlaçlar? Onları almıyorsunuz, muayene oldunuz ya, ilaca
gerek yok.
Sızma testinin geldiği noktaya benziyor
gerçekten. Sızma testi yaptırmanın güvenlik önlemi olarak görülmeye başladığını
görüyorum. Güvenlik ihlali yaşamış bir yerde ihlale kullanılan açığın son
birkaç yılın sızma testi raporunda olduğunu gördüğümde inanamamıştım, son bir –
iki yıldır normal geliyor.
Muayenenin reçete veya tedavi olarak
görülmesine neden olan bazı etkileri aşağıda kendimce özetlemeye çalıştım.

Sızma
testinin amacının gözden kaçırılması.
Sizin de bildiğiniz gibi sızma testinin temel
amaçlarından biri kurum sistemlerinin içeriden ve/veya dışarıdan gelecek
saldırılara karşı ne kadar korunaklı olduğunu ortaya çıkartmaktadır. Yapılan
onlarca toplantılar, yazılan sayfalarca şartnamelerin sonunda bu amaç ikinci
plana itiliyor ve iş hizmete talip firmanın hedefine giden bir adım haline
geliyor.
Firmanın
hedefi.
Asıl gelir kaynağı ve işi donanım veya yazılım
satmak olan firmaların yaptığı testlerle son zamanlarda sıkça karşılaşmaya
başladık. Ne yazık ki bu testler bariz birkaç açığın ağdalı cümlelerle kâğıda
dökülmesinde ve öneri kısmına firmanın portföyünde olan ürünlerin alt alta
yazılmasından ibarettir. Bu durumda sızma testi kurumdaki eksik cihazların veya
yazılımların bir listesini çıkartmak için yapılır ve maliyeti pazarlama
bütçesine yazılabilir. Firmanın ön plana çıkartmak istediği veya satışından en
fazla kazanç elde edeceği çözüme bağlı olarak sızma testinin kapsamı ve raporda
vurgulanan zafiyetler değişebilir. Bu durumda sızma testi diğer konuları gözden
kaçıracağı için fayda sağlamayacaktır. Özünde bir çözüm değil, teşhis olan bir
testin bu şekilde amacında sapması tedbir alınmasına imkan vermeyecektir.
“Sistemi
ele geçirmek işin sadece başlangıcı”
Aşağıda son derece kabaca çizdiğim kurum ağını
ele alalım.

Saldırgan bu ağ üzerindeki sistemlerden
herhangi birine veya hepsine, herhangi bir zafiyet kullanarak sızabilir. DMZ
bölgesindeki bir sunucuda unutulan bir test kullanıcı hesabı buradaki
sunucuların ele geçirilmesine neden olabilir. Benzer şekilde oltalama
(“Phishing”) saldırısı ile bir kullanıcının sistemi ele geçirilebilir. Başka
bir yöntem ile veri tabanında bulunan bir zafiyet istismar edilebilir. Her
saldırı kendi içerisinde geçerli (bkz. mübah) olacağı için sızma testi
raporunda yer alacaktır.  Sızma testinin
tek bir konuda uzmanlaşmış kişilerce (örneğin Windows zafiyetleri veya web
uygulama zafiyetleri) yapılması durumda kurum sadece bu alandaki tehlikelerin
farkına varabilecektir. Sızma testi raporunda önerilen düzeltmeler yapılsa bile
güvenlik sağlanamayacaktır. Sızma testinin birden fazla saldırı vektörünün ele
alınarak yapılması gerekmektedir.
Nasıl
seçilir?
Sızma testi yaptıracak firmanın seçimi çok zor
bir karardır. Profesyonel sertifikalar bu konuda yol gösterici olabilir ama
dikkatli olmakta fayda var. Bilgi güvenliği alanında pek çok sertifika var
bunlarla ilgili daha uzun bir yazı yazmakta fayda olabilir ama kısaca değinmek
gerekirse şu soruları sormak gerekiyor:
Sertifika yapılacak işle ilgili mi? Konumuz
sızma testi olduğunda CISSP, CISA, CEH, CCNA, CCNP veya Windows
sertifikalarının ne yazık ki bir faydası yok. Bu sertifikalar daha yönetsel,
teorik veya giriş seviyesi olduğundan sızma testini yapacak kişilerde veya
ekibin yöneticisinde olmaları yapılan iş konusundaki yetkinliğe dair bir
gösterge değillerdir.
Sertifikanın bir geçerliliğine dair veren
kuruluş dışında bir kanıt var mı? Bilgi güvenliği konusunda bir sertifika
vermeye başlamak için alınması gereken bir sertifika ne yazık ki yok. Bu
durumda ulusal veya uluslararası düzeyde bir standart kuruluşunun sertifikanın
geçerliliğini onaylamış olması bir gösterge olarak değerlendirilebilir.
Sertifika ne kadar yaygın?
Sertifikanın dünyada ve ülkemizde kaç kişide
olduğuna bakmak da bir gösterge olabilir.
Alınabilecek
önlemler
Sızma testinin amacına uygun şekilde
yapılmasını ve kuruma faydalı olmasını sağlamak için aşağıdakiler yapılabilir.
Sızma testinin amacının ve kapsamının doğru
belirlenmesi: Kurumun bu testlerden beklentisiyle örtüşen bir kapsam
belirlenmelidir.
Sızma testi sırasında kullanılacak saldırı
vektörleri: Gördüğümüz gibi tek bir açıdan yapılacak sızma testinin kuruma
faydası son derece sınırlı olacaktır. Bu durumda test sırasında kullanılacak
saldırı vektörlerinin çeşitlendirilmesi ve bu çeşitlilik konusunda uzmanlığı
olan bir firma seçmek önemlidir.
Firma profilinin değerlendirilmesi: Sızma
testini yapmaya talip firmanın asıl faaliyet alanının araştırılması bu testi
yapmaya neden istekli oldukları konusunda ipuçları verebilir.
Referansların alınması: Bugüne kadar
profesyonel olarak yaptıkları sızma testi sayısı firmanın bu alandaki
başarısının en önemli göstergelerinden birisi olacaktır. 
Test sonrası öneriler: Test sonuçlarına göre
getirilecek öneriler ve planlanan uygulamalar dikkatle sorgulanmalıdır. Sızma
testinin asıl amacının kurumun sistemlerinin güvenliğini artırmak olduğunu
hatırlarsak asıl sürecin test sonrasında başladığı ortadadır. Bu durumda testi
yapan firmanın bilgi güvenliği konusundaki yetkinliği çok önemlidir. Sızma
testini daha geniş bir danışmanlık hizmeti içerisinde değerlendirmek bile bir
çözüm olabilir.
Sertifikalardan etkilenmemek: Sertifikalar
faydalıdır ancak yapılan işle örtüşen sertifikaların kurum tarafından
belirlenmesi ve değerlendirmeye alınması önemlidir.
Yukarıda kısaca değindiğimiz basit noktalar
dikkat ederek kurumun doğru bir sızma testi hizmeti almasını ve bu hizmet
sonrasında güvenlik seviyesini artırmak için doğru eylemlerde bulunmasını
sağlayacaktır. Muayene ile yetinmeyip tedavi sürecini doğru işletebilmeniz
dileğiyle. 

Alper BAŞARAN <alper.basaran@bga.com.tr>