Metodoloji

Sızma testleri, aşağıda detaylı bir şekilde anlatılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek temel sızma testleri ve detaylı sızma testlerinden oluşur. Temel sızma testleri sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder.

Temel sızma testleri sonrası saptanan açıklık ve bulgular, kapsam bölümünde belirtilen ve ilişkili olduğu her bir başlık altında, detaylı sızma testlerinin gerçekleştirilmesi suretiyle ayrıntılı olarak incelenerek raporlanır.

Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular; ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir. Bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak kurumun sorumluluğundadır.

Sızma testleri gerçekleştirilirken, kurumun faaliyetlerini aksatmayacak ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler kurum ile koordineli bir şekilde planlanarak gerçekleştirilir.


TESTLERİN GERÇEKLEŞTİRİLECEĞİ ERİŞİM NOKTALARI

Sızma testlerinin gerçekleştirileceği asgari erişim noktaları aşağıda tanımlanmaktadır. Bu noktalardan sisteme erişildikten sonra, temel sızma testleri gerçekleştirilmeli ve sonrasında detaylı sızma testleri uygulanmalıdır.

Internet: Kurumun internet üzerinden erişilebilen tüm sunucu ve servislerine internet üzerinden erişilerek sızma testleri gerçekleştirilir.

Kurum İç Ağı: Kurumun iç ağında yer alan ve test kapsamında ele alınan sunuculara kurum iç ağı üzerinden erişilerek sızma testleri gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır ve testi gerçekleştirecek şahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar sağlanır.


TESTLERİN GERÇEKLEŞTİRİLEBİLECEĞİ KULLANICI PROFİLLERİ

Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilir.

Anonim Kullanıcı Profili: Internet üzerinden, kurumun web servislerine erişilebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Kuruma ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla profil kullanılmalıdır.

Kurum Müşterisi Profili: Internet üzerinden, kurumun web servislerine erişilebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. Internet üzerinde kuruma ait web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Kurumun Misafir Profili: Kurumu ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Kurumun Çalışanı Profili: Kurum personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturma amacıyla bu profil kullanılmalıdır. Kurum çalışanı profili ile gerçekleştirilecek testlerde, kurum çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilir. Kurum çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa kurum tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilir.


SİSTEM TESPİTİ, SERVİS TESPİTİ VE AÇIKLIK TARAMASI

Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.

Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.

Servis Tespiti: Kurumun bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.

Açıklık Taraması/Araştırması: Kurumun bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veri tabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır.