Sızma testi sezonu başladı.
Yıl sonu, çalıştığımız kuruluşların sıkça karşılaştığı planlama zorlukları nedeniyle her zaman yoğun bir dönemdir ve şimdi tam bu döneme girmiş bulunuyoruz. İş yükümüz o kadar artıyor ki, çalışanlarımızın yorgunluklarını atabilmeleri ve yeniden enerji toplayabilmeleri için Ocak ayının ilk haftasında, yıllık izinlerine ek olarak bir haftalık ücretli izin veriyoruz ve şirketimizi bir haftalığına kapatıyoruz. Bu yoğunluğun temel nedenleri arasında, yıl içinde planlanan ancak henüz tamamlanmamış sızma testleri ve yıl sonunda kullanılması gereken bütçelerin verimli şekilde değerlendirilme ihtiyacı yer alıyor.
Hazır sızma testi yaptırma dönemindeyken, sizlerin sızma testi hizmetinden azami derecede faydalanmasını sağlayacak bazı önerileri paylaşmak istiyoruz. Bu önerilerin bir kısmı süreç olarak sızma testini iyileştirmenizi sağlayacak, bir kısmı ise teknik olarak daha verimli bir sızma testi almanıza yardımcı olacak.
Sızma testi sürecini iyileştirmek
Bir hizmet alımı söz konusu olduğu için çoğu kuruluş “en düşük teklifi verenden alalım” yaklaşımını zaten benimsemez. Yetersiz veya eksik bir hizmet alınmasının zararlarının, alım sırasında edilecek %10-15’lik bir tasarruftan daha riskli olduğunu hepimiz biliriz.
Bunun yanında sızma testi sürecini iyileştirmek için sunabileceğimiz öneriler şunlar:
1. Kapsam ve Hedefleri Belirleyin
Sızma testinizin yol haritasını oluşturmakla başlayın. Hangi sistemlerin, ağların ve uygulamaların test edileceğini net bir şekilde belirleyin.
Bu noktada amacımız kesinlikle zafiyet içeren sistemleri kapsam dışı bırakarak daha olumlu sonuçlar elde etmek olmamalıdır. Günün sonunda durumu olduğundan iyi gösteren bir sızma testi raporu yaşanması muhtemel bir güvenlik ihlalinde olay müdahale adımlarının gereksiz uzamasına bile neden olabilmektedir. Kapsamı belirleme konusunda, hizmet alacağınız firmadan görüş alabilirsiniz elbette ama kimsenin gerçek durumu sizin kadar iyi bilemeyeceğini de unutmayın.
2. Ön Risk Değerlendirmesi Yapın
Kendi güvenlik sisteminize bir göz atın. Potansiyel zayıf noktaları tespit etmek, sızma testi sırasında daha değerli bilgiler elde etmenizi sağlayacaktır. Bildiğiniz güvenlik açıklarını kapatın. Kapatamıyorsanız (örn. Üretim hattında kullanılan Windows XP’ler) bunların hepsinin teste dahil edilmesi mantıklı olmayabilir. Onun yerine 1-2 tanesini kapsama dahil edip bunlarda tespit edilen güvenlik açıklarını ve çözüm önerilerini diğerlerine yayın.
3. Takımınızı ve Sistemlerinizi Hazırlayın
IT ve güvenlik ekiplerinizi sızma testine hazırlayın. Verilerinizi yedeklemeyi ve sistemlerin stabil olduğundan emin olmayı unutmayın. Böylece, test sırasında herhangi bir aksaklık olmaz. Bunun yanında belli ölçüde BT ekiplerine testin yapılacağı bilgisini vermenizde fayda olacaktır. Dışarıdan aldığınız SOC hizmetinin yetkinliğini de değerlendirmek istiyorsanız onlara haber vermemek daha gerçekçi bir değerlendirme yapmanızı sağlayabilir.
4. İletişim Yöntemlerini Belirleyin
Sızma testi ekibiyle açık iletişim kanalları kurun. Düzenli güncellemeler ve geri bildirim seansları planlayın. Bu, sürecin sorunsuz ilerlemesini sağlar. Sızma testini TSE belgeli bir şirketten alıyorsanız size zaten “Acil Durum İletişim Formu” iletilecektir, iletişim yöntemlerini o form aracılığıyla yazıya dökebilirsiniz.
5. Yasal ve Uyum Konularını Gözden Geçirin
Uyum amacıyla yaptırın veya kuruluş güvenlik prosedürlerine göre yaptırın, sızma testine başlamadan önce en az aşağıdaki sözleşmeleri imzaladığınızdan emin olun:
- Hizmet sözleşmesi: Yapılacak işin ayrıntılarını düzenleyen sözleşme
- Kurumsal gizlilik sözleşmesi: Sızma testini yapacak şirket ile imzalanan sözleşme
- Bireysel gizlilik sözleşmesi: Testi yapacak şirket personeliyle bireysel olarak imzalanan gizlilik sözleşmesi
Sızma Testi Öncesi Teknik Kontroller
Şimdi, sızma testi öncesinde yapılması gereken teknik kontrollere geçelim. Bu kontroller, sızma testini yapan ekibin daha derin ve karmaşık güvenlik zafiyetlerine odaklanmasını sağlayacak. En son isteyeceğimiz şey sızma testinin bir adet güncelleme eksiği sonucu ele geçirilmiş bir domain sunucusu ile sonlanmasıdır. Bu durumlar yaşandığında, şirketlerin genellikle “domaini aldık, işimiz bitti” diyerek gerektiği kadar yoğun çalışmadıklarına şahit oluyoruz.
Aşağıda listelediğimiz tedbirlerin amacı elbette sızma testini yapan firmayı kötü duruma duruma düşürmek değildir. Amacımız işlerini yaparken etkisi daha yüksek olabilecek zafiyetleri tespit edip bunlara odaklanmalarını sağlamaktır. Göreceğiniz gibi tedbirler, sızma testi yaptırmayacak olsanız bile genel anlamda siber güvenlik hijyeni açısından gereklidir.
1. Sistemleri Güncelleyin
Tüm sistemleri, uygulamaları ve ağ cihazlarını en son güvenlik yamalarıyla güncelleyin.
2. Güçlü Şifre Politikaları Uygulayın
Güçlü şifre politikaları belirleyin ve uygulayın. Karmaşık şifreler kullanın ve düzenli olarak değiştirin.
3. Ağ Yapılandırmalarını Güvenli Hale Getirin
Ağ yapılandırmalarını gözden geçirin ve gereksiz portlar ile servisleri devre dışı bırakın.
4. Ağ erişim denetimini ve VLAN ayrımlarını kontrol edin
Bir NAC (Network Access Control) çözümünüz varsa bunun devrede olduğundan emin olun. VLANlar arası geçişlerin açık olmadığını kontrol edin. Sızma testini yapacak şirket öncelikle bu kontrolleri atlatmaya çalışmalı. Atlatmanın bir yolunu bulursa ne ala, bulamazsa da bulamadığını raporda belirterek mevcut ağ erişim denetimi süreçlerimizin doğru çalıştığını belgelemiş olur.
5. Güvenlik Duvarı ve Saldırı Tespit Sistemlerini Doğrulayın
Güvenlik duvarlarınızın ve saldırı tespit sistemlerinizin etkili şekilde çalıştığından emin olun.
6. Güvenli Erişim Kontrolleri Uygulayın
Erişim kontrollerinin doğru şekilde uygulandığından emin olun.
7. Uç Noktaları ve Sunucuları Güçlendirin
Uç nokta ve sunucularınızı güçlendirin. Gereksiz servisleri devre dışı bırakın.
8. Yedekleme ve Kurtarma Süreçlerini Test Edin
Yedekleme sistemlerinizin etkili şekilde çalıştığından ve verilerin hızlı bir şekilde geri yüklenebildiğinden emin olun.
9. Önlem Alarak Zafiyet Taraması Yapın
Standart araçlar kullanarak zafiyet taraması yapın ve basit güvenlik zafiyetlerini giderin. Zafiyet tarama yazılımı lisansınız yoksa ağ tabanlı zafiyetleri tespit etmek için OpenVAS’ı ücretsiz olarak kurup kullanabilirsiniz.
10. Web Uygulamalarınızı tarayın
Eğer web uygulamaları test kapsamındaysa, SQL enjeksiyonu, çapraz site betik saldırısı ve kırık kimlik doğrulama mekanizmaları gibi yaygın zafiyetlere karşı güvenlik önlemleri alın. Web uygulama zafiyet taramaları için bir yazılım lisansınız yoksa OWASP ZAP kullanarak web uygulamalarını tarayabilirsiniz.
Sonuç olarak, bu önerilerin sızma testi sürecinizi daha verimli ve etkili kılmada faydalı olacağını umuyoruz.
Unutmayın, siber güvenlik yolculuğunuzda herhangi bir yardıma ihtiyaç duyarsanız, biz her zaman buradayız. Özel şirketler ve kamu kurumlarına gerçekleştirdiğimiz 1000'den fazla sızma testi deneyimimizle, size özel hizmetler sunmaya hazırız. Hizmetlerimiz hakkında daha fazla bilgi almak veya teklif istemek için lütfen bizimle sparta@sparta.com.tr üzerinden iletişime geçin.
Güvenliğiniz için buradayız ve sizinle çalışmayı sabırsızlıkla bekliyoruz.
