Eskiden bilgi güvenliğine verilen önemin kıymeti çok bilinmezken, günümüzde hangi önlemlerin alınmasına yönelik bir pazarın oluştuğu görülmektedir. Özellikle Ülkemizde 7 Nisan 2018 tarihinde uygulanmaya başlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birçok açıdan bir çalışma değişikliği olacağı görülmüştür. Peki bunun başlangıç noktası ne olmalıdır? Tabii ki işe güvenlik testleri ile başlamak en doğrusu olacaktır. Sızma testi veya diğer bilinen adlarıyla pentest veya penetrasyon testi birçok testi içeren çok önemli bir tarama ve zafiyetleri tespit aracıdır.

Sosyal mühendislik, ağ güvenliği, ddos testleri, internet üzerinden uygulama testleri vb birçok alanda bilgi teknolojilerine uzmanları tarafından testlerin yapılması, güvenlik açıklıklarının tespit edilmesinde en genel geçer korunma ve açıklık analizi yapma araçlarından birisidir. Özellikle iç sistemler üzerinden derinlemesi tarama ile açıklığa apaçık maruz kalabilecek hassas sistemlerin siber saldırılarına karşı bilgi güvenliği durumunun net fotoğrafı çekilebilir. ancak burada unutulmaması gereken 2 önemli unsur bulunmaktadır. Birinci unsur testleri kurumların ihtiyacına yönelik olmasıdır. İkinci unsur ise güvenlik uzmanlarının yapılacak testler için en uygun şekilde seçilmesi, firmadan çok sızma testlerini yapacak ekibin kalitesinin değerlendirilmesi yerinde olacaktır.

Güvenliği iyi bir hale getirmek için yapılan penetrasyon testleri sadece işin ilk boyutdur. Ancak bundan sonraki aşamanın daha zorlu olacağı unutulmamalıdır. Güvenlik testleri sonucu tespit edilen açıklıkların kapatılması da bir o kadar önemlidir. Çünkü güvenlik testleri sadece güvenlik açıklarının bilinmesini sağlar ancak bu durumun kapandığı anlamına gelmez.

Dilerseniz biraz sızma testlerinin detaylarını inceleyelim. Bazı durumda testler, 3 aşamalı test şeklinde olabilmektedir. Black box, gray box veya white box testler olarak adlandırılan bu aşamalı testler güvenlik uzmanına sağlanan bilgilerin miktarına göre değişen testlerdir. Örneğin bilgi güvenliği testlerinde hiç bir bilgi verilmeden yapılan testlere black box, bütün bilgilerin (şifreler vd bilgiler) sağlanmasıyla yapılan testlere ise white box testleri denir. Renginden de anlaşılacağı gibi gray box testler, sağlanan bilginin ne tam ne de eksik olduğu durumlarda yapılan testlere denir.

Bilinmesi gereken bir diğer konu da yapılan testleri sürekliliğidir. Değişen şartlar, eklenen yeni durumlar, yapılan bazı hatalar veya geçen zamanlar bir sistemi tekrar zafiyetli bir duruma getirebilir. Bu yüzden belli dönemlerde bu testlerin tekrarlanması ve sürekliliğin sağlanması gerekmektedir. Uzmanlar ve bu konuda yayınlanmış yayınlar yılda en az bir kez bu testlerin dış kaynaklı olarak yapılmasını ve işletmenin dışında bir gözün durumu gözlemlenmesini önermektedir.

Sızma testleri dışarıdan alınan bir güvenlik çözümü veya fiziksel bir koruma sistemi değildir. Dolayısıyla alınan hizmetin ölçümünü yapmak bulunan zafiyetin sayısına bakarak yapamazsınız. Bu yüzden alınan hizmetin detaylı raporunun sunulması ve gerekirse bir son oturum toplantısı ile yapılan çalışmanın detayları sorgulanmalı ve incelenmelidir. Bir diğer husus dış pentest hizmetinin sürekli aynı firmayla veya aynı uzman ile yapılmamasıdır. Sefer geçtikçe amaçlarından biri olan dış göz olgusu kaybolmaktadır. Bunu engellemek için iki senede bir firma değişikliği yapılması gerekmektedir/önerilmektedir.

Ülkemizde son yıllarda zorunlu hale getirilen ISO 27001 bilgi güvenliği standardı ve 6698 sayılı kişisel verilerin korunması kanunu (kısaca KVKK) güvenlik testlerini zorunlu kılmaktadır. İster zorunluluk olsun ister isteyerek yapılsın, sızma testleri bilgi güvenliğinin emniyet sibobudur.

Beyaz şapkalı hacker olarak ifade edilen kişiler tarafından gerçekleştirilen bu testler ve verilen hizmetler, bilgi birikimi yüksek kişilerce yapılmalıdır. Bu yüzden uzun yıllar deneyim kazanmış personellerin bulunduğu bu kişilerce hizmet verilmesi maliyetlerin artmasına neden olmaktadır. Ancak bu hizmeti almak isteyen firmalar ucuz yollu olarak bu hizmeti almayı istemektedir. Dolayısıyla ekonomik olarak makul hizmetin alınması istenirken kaliteden ödün verilmesi alınan hizmetin faydasız olmasına neden olabilir. Bundan dolayı fiyat*performans dengesinin irdelenmesi ve kritik kararın verilmesinden önce ince elenip sık dokunulması önemlidir.

Genellikle kişiler tarafından sızma testi ile karıştırılan bir diğer kavram ise zafiyet analizidir. Zafiyet analizi güvenlik testinden öte, daha derinlemesine yapılan çepeçevre bir analizdir. Özellikle Bilgi Teknoloji ürünlerinin zafiyet analizi değerlendirilmesi ISO tarafından da tanımlanmış ortak kriterler değerlendirmesi içerisinde sunulur. ISO 15408 standardı çerçevesinde irdelenen ürünün güvenliği başarılı bir değerlendirme süreci sonunda belgelendirilir.

Güvenlik testleri tamamlandıktan sonra ortaya çıkarılan açıklıkların ilgili açıklıkların kritikliğine göre değerlendirilmesi ile yola devam edilir. Bütün tedbir çalışmaları tamamlandıktan sonra tekrar yapılacak güvenlik taraması, bir diğer ifadeyle doğrulama testleri alınan hizmetin tamamlanmasını sağlar. 

Güvenlik testleri belli bir kurala uyularak yapılabileceği gibi bazı test uzmanlarınca denenen körleme testlerle de çeşitlendirilebilir. Ancak burada önemli husus, mevcut sistemlere hiç bir zararın verilmemesi ve testlere başlamadan önceki durumun sabit tutulması sağlanmalıdır. Güvenlik testlerinde amaç sistemi kırıp dökmekten ziyade açıklıklarının sömürülmesi ve elde edilen bulguların raporlanmasıdır. Sonrasında sistem eski haline döndürülmeli ve ilk baştaki şekliyle bırakılması sağlanmalıdır.

Günümüzde belirli ve tek bir standart olacak şeklinde güvenlik testi raporlaması yoktur. Bazı otoriteler çeşitli içeriklerin raporda olmasına yönelik önerileri vardır. 

Değerlendirmenin teknik tarafı, genel değerlendirme sürecinin sadece yarısıdır. Son ürün, iyi yazılmış ve bilgilendirici bir raporun üretilmesidir. Bir raporun anlaşılması kolay olmalı ve değerlendirme aşamasında ortaya çıkan tüm riskleri vurgulanmalıdır. Rapor hem yönetici hem de teknik personele hitap etmelidir.

OWASP test raporlamasına göre aşağıdaki bölümlerin bulunması önerilmektedir.

1. Yönetici Özeti

Yönetici özeti, değerlendirmenin genel bulgularını özetlemekte ve işletme yöneticilerine ve sistem sahiplerine, keşfedilen güvenlik açıklarının üst düzey bir görünümünü vermektedir. Kullanılan dil, teknik olarak bilinmeyen kişilere daha uygun olmalı ve risk düzeyini gösteren grafikler veya diğer grafikler içermelidir. Yöneticilerin muhtemelen bu özeti okumak için zamanlarının olacağını ve iki soruyu düz dilde cevaplanmasını isteyeceklerini unutmayın: 1) Sorun nedir? 2) Bunu nasıl düzeltebilirim? 

Yönetici özeti, açıklıkların ve şiddet derecelerinin, örgütsel risk yönetimi sürecinin bir sonucu ya da bir iyileştirme değil, bir girdi olduğunu açıkça belirtmelidir. Güvenlik açığı kullanıldıysa, test cihazının kuruluşun veya iş sonuçlarının karşılaştığı tehditleri anlamadığını açıklamak en güvenli yöntemdir. Bu, risk düzeyini bu ve diğer bilgilere dayanarak hesaplayan risk profesyonelinin görevidir. 

2. Test Parametreleri

Giriş, güvenlik testinin parametrelerini, bulguları ve iyileştirmeyi özetlemelidir. Bazı önerilen bölüm başlıkları şunları içerir:

2.1 Proje Amacı: Bu bölüm proje hedeflerini ve değerlendirmenin beklenen sonucunu özetlemektedir.

2.2 Proje Kapsamı: Bu bölüm üzerinde anlaşılan kapsamı özetlemektedir.

2.3 Proje Çizelgesi: Bu bölüm testin ne zaman başladığını ve ne zaman tamamlandığını özetlemektedir.

2.4 Hedefler: Bu bölüm uygulamaların sayısını veya hedeflenen sistemleri listeler.

2.5 Kısıtlamalar: Bu bölüm, değerlendirme boyunca karşılaşılan her sınırlamayı özetlemektedir. Örneğin, proje odaklı testlerin sınırlamaları, güvenlik test yöntemlerinde sınırlama, testin değerlendirme sırasında karşılaştığı performans veya teknik sorunlar vb.

2.6 Bulgular Özet: Bu bölümde test sırasında keşfedilen güvenlik açıkları özetlenmektedir.

2.7 İyileştirme Özeti: Bu bölümde, test sırasında tespit edilen güvenlik açıklarının düzeltilmesi için eylem planı özetlenmektedir.

3. Bulgular

Raporun son bölümü, bulunan güvenlik açıkları ve bunları çözmek için gereken eylemler hakkında ayrıntılı teknik bilgiler içermektedir. Bu bölüm teknik bir amaca yöneliktir ve meseleyi anlamak ve çözmek için teknik ekipler için gerekli tüm bilgileri içermelidir. Her bulgunun açık ve özlü olması ve raporun okuyucusuna konuyla ilgili tam bir anlayış kazandırması gerekmektedir.

Bulgular bölümü şunları içermelidir:

a) Test vakasının yürütülmesi sırasında hangi görevlerin gerçekleştirildiğini gösteren ekran görüntüleri ve komut satırları
b) Etkilenen öğe
c) Sorunun teknik açıklaması ve etkilenen işlev veya nesne
d) Sorunu çözme ile ilgili bir bölüm
e) Şiddet derecesi