-Firmanın test için kullandıkları standartların geçerliliği,
-Firmanın test raporunda kullandığı uygulamaların lisansli araçlar olması
-Sızma testi işi firmanın sadece siber güvenlik hizmetleri yürütmesi
-Yöneticilere ve teknik çalışanlara özel iki farklı rapor sunumu
-Raporların okunabilir ve anlaşılır olması
-Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
-Pentest raporunun şifreli bir şekilde iletilmesi
-Keşfedilen güvenlik açıklarının nasıl kapatılacağı konusunda çözüm önerilerinin sunulması
-TS EN ISO 9001:2008 belgesi ve TS EN ISO 27001:2013 belgesi bulunacaktır.
-Şartname kapsamında verilecek tüm hizmetleri koordine etmek ve projenin planlandığı gibi ilerlemesini kontrol etmek üzere bir proje yöneticisi görevlendirecektir.
-Hizmet kapsamındaki hizmetleri gerçekleştirecek Firma ekibi en az 1 (bir) ISC2 ISSAP (Information Systems Security Architecture Professional), 1 (bir) ISC2 CISSP (Certified Information Systems Security Professional), 1 (bir) PMP (Project Management Professional), 1 (bir) GPEN (GIAC-Penetration Tester) ve 1 (bir) TSE Sertifikalı Ağ Sızma Testi Uzmanı ile 1 (bir) ISO 27001:2013 Baş Denetçi sertifikasına sahip kişilerden oluşacaktır.
-Türk Standartları Enstitüsü tarafından verilen ”TS-13638 sızma testi yapan personel ve firmalar için şartlar” standardı kapsamında “A veya B Sınıfı Onaylı Sızma Testi Firması” belgesine sahip olacaktır.
-Bu hizmet kapsamında hizmetleri gerçekleştirecek ekibin “Şahıs Güvenlik Belgesi” nin olması tercih sebebidir.
-Hizmet kapsamında hizmetleri gerçekleştirecek ekibinin, firmanın kendi bodrosunda olması gerekmektedir.
-Hizmet kapsamında hizmetleri gerçekleştirecek ekibinin, SCADA (Endüstriyel Kontrol Sistemleri) sızma testi yapabilecek kabiliyette olması gerekmektedir.
-Son iki yılda EKS sistemleri sızma testi referansı en az 2(iki) olmalıdır.
-Sızma Testi Çalışması İçerik & Yönergeler
Anahtar Adımlar:
1.Görünürlük Analizi
2.Aktif Durumdaki Cihazların Keşfedilmesi
3.Servislerin Keşfedilmesi
4.Güvenlik Teknolojilerinin Keşfedilmesi
5.İşletim Sistemi Belirlenmesi
6.DMZ Analizi
7.Uygulama Analizi
8.Güvenlik Problemlerinin Değerlendirilmesi
9.Güvenlik Riskleri Tespiti ve Önceliklendirilmesi
10.Manuel Doğrulama
11.Çözüm Geliştirme ve Rapor Hazırlığı
Bu aşamaların detayları aşağıda açıklanmıştır.
Görünürlük Analizi : Bu aşamada Kurum Internet üzerindeki varlığı ve alınabilen temel bilgiler gözden geçirilerek bilgisayar sisteminin herhangi bir saldırıda kullanılabilecek temel bilgileri toplanmaktadır.
Genel Bilgi Toplama, yapılan bir grup sorgulamalar sonucu hedef organizasyon ya da intranet hakkında elde edilebilecek bilgileri ortaya çıkarmaya dayanır.
Web sitesi Analizi: Kurum ile ilgili tüm web siteleri özel bir araç ile çevirim dışı olarak içerik analizine tabi tutulacak, HTML kodu içerebileceği önemli bilgiler açısından taranacaktır.
Ağ Numaralandırılması: Bu aşama hedef ağ ile ilgili bütün alan (domain) isimlerinin belirlenmesini içerir.
DNS sorgulaması: DNS eğer yeterli güvenlik sağlanmadan yapılandırılırsa, hedef organizasyon hakkında bilgiler elde edilebilmektedir.
Hedef Ağ doğru biçimde yapılandırılmış ise, ideal durumda ağ ile ilgili hiçbir gereksiz bilgi dışarı sızmayacaktır. (Gereksiz Bilgi burada hedef ağ yapısının doğru ve verimli işlemesi için gerekli olmayan bilgi anlamında kullanılmıştır.)
“Genel Bilgi Toplama” genelde güvenlik değerlendirilmelerinde tamamen gözden kaçırılan bir aşamadır, ya da en iyi ihtimalle, tutarsız ve yetersiz şekilde yürütülen bir aşama olarak gerçekleştirilmektedir. Firma, güvenlik taramasının bu en temel adımına gerekli önemi göstermektedir.
Kurum tarafından kullanılan IP adresleri aralığı üzerinde, belirli bir dizi TCP, UDP ve ICMP paketleri göndererek aktif durumdaki cihazların tespit edilmesi bu adımda gerçekleştirilir.
Topolojik Ağ Keşfi: Hedef ağın topolojisinin ortaya çıkarılması aşamasıdır.Firma danışmanları tüm ağı “traceroute” işlemine tabi tutarak belirli IP adreslerine giden belirli yolların tümünü ortaya çıkartır ve ağ yapısındaki topolojik gariplikleri tespit eder. Bu noktada Firma ayrıca şirketin güvendiği bir ortağına ait bir aletin, şirketin dahili ağına alternatif bir giriş olanağı sağlayıp sağlamadığını kontrol eder.
Ping Sorgulaması (Ping Sweeping): Ağ üzerinde uygulanan bu ping yöntemi ile ağa ait hangi sistemlerin aktif olduğunu, hangilerinden yanıt alınabildiğinin belirlenmesi ve bu şekilde ağın bütün bir haritasının oluşturulması sağlanır.
ICMP Sorgulamaları:Firma danışmaları hedef sistemlere ICMP paketleri göndererek “network mask” ve “timestamp” ile ilgili önemli bilgileri elde edebilmektedir.
Tüm sistemler doğru olarak yapılandırılmış ise, çok az sayıda araç ağın dışından açık olarak görünebilmelidir. Ayrıca, sistemin verimli çalışmasına katkıda bulunmayan tüm servisler ve özellikler kapatılmış olmalıdır.
FIRMA danışmanları, firewall dahil olmak üzere, tam bir TCP ve UDP port taraması yapacaktır. Aktif durumda olduğu tespit edilen cihazların tüm TCP ve UDP portları denenerek bu portlar üzerinde çalışan servisler belirlenir. Bu bilgiler daha sonra sistem açıklarının değerlendirilmesi için kullanılır.
Güvenlik duvarı, IDS/IPS, VPN ve kullanılan diğer güvenlik teknolojilerinin keşfini kapsayan bir adımdır. Bu işlem doğal olarak loglarınızda yer alacaktır. Sisteme sızmak için kullanılabilecek kural listeleri, işletim sistemi ve versiyonu bilgileri, kullanılabilecek güvenlik açıkları, VPN sisteminde kullanılan key, kriptolama vs. gibi bilgiler edinilir. Yapılandırma hataları analizi ve tünel analizi yapılır.
Bu aşamada sistem bütünlüğüne zarar vermeyecek şekilde tasarlanmış belirli TCP paketleriyle yaratılan taleplere sistemlerin verdiği cevaplara dayanarak, her bir aktif sunucu üzerinde çalışan işletim sistemi tespit edilir. Sunucular üzerinde çalıştırılan işletim sistemleri, çalışan servisler, işletim sistemi açıkları, kullanılan uygulama açıkları, servis paketi ve yama durumları değerlendirilir. Risk sınıflandırması yapılır.
Bu adım DMZ’de bulunan sunucuların analizidir. Güvenlik zayıflıkları tek tek test edilir. Servislerin arkasındaki uygulamaların testi yapılır. İşletim sistemleri test edilir.
Birçok uygulama kendine has ve firma spesifik olması nedeniyle bu uygulamalar için keşfedilip yayınlanmış açıklar bulunmayabilir.Firma uzmanları manuel yöntemlerle bu uygulamaları olabilecek temel güvenlik problemlerine karşı test ederek daha önce fark edilmemiş güvenlik açıklarını ortaya koymaya çalışırlar. Çalışmanın bu adımı belirlenmiş adam-saat süresi ile sınırlıdır. Söz konusu firma spesifik sistemlerinizin en kapsamlı şekilde test edilmesine ilişkin servisler ayrıca fiyatlandırılabilir.
Erişilebilen tüm sunucu, yönlendirici, firewall ve web sunucuları, istemcilerin üzerinde bulunabilecek güvenlik problemleri tespit edilir. Bu son aşamada, önceki aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları göz önüne alınarak önem derecelerine göre sıralanılır. Savunmasız noktalar gerekli saldırı kodları kullanılarak test edilirler. Tüm önemli ağ trafiği bilgileri, çeşitli ağ takip araçları kullanılarak (sniffer) gözlemlenir ve güvenlik sisteminin kendisiyle ilgili önemli bilgilerin tespit edilmesi sağlanır.
Bir önceki adımda tespit edilen ilgili açıklar bilgisinden hareketle, uzmanlarımız sistem konfigürasyonları, kullanıcı hesapları, ağ servisleri ve uygulamaları üzerinde olabilecek güvenlik açıklarının bulunup bulunmadığını çeşitli araç, program ve Firma uzmanlarınca yazılmış kodlar aracılığı ile kontrol ederler. Tespit edilen güvenlik açıkları, taşıdıkları riskler değerlendirilir ve önemine göre sıralanır.
Bir önceki adımda tespit edilen bulguları, uzmanlarca tek tek değerlendirip el manuel olarak ile denenerek, bu güvenlik açıklarının gerçekte var olup olmadıkları test edilir.
Yukarıdaki bütün işlemler tamamlandıktan sonra, güvenlik uzmanları tespit edilen bulgular ve güvenlik açıklarından hareketle her bir güvenlik açığı için çözüm önerileri oluşturur ve raporlar. Sonuçta size sunulan raporda sonuçların genel olarak özetlendiği bir yönetici özeti bölümü vardır. Bu yönetici özetinde, tespit edilmiş güvenlik açıklarının toplamı ve tek tek çalışır durumdaki cihaz bazındaki dağılımlarına ait grafikler bulunur. Raporun takip eden sayfaları tespit edilmiş güvenlik açıklarına ait açıklamalar, bu açıkların risk öncelikleri, kapatılmasına yönelik öneriler ve söz konusu açıkla ilgili referanslar bulunur.
Yapılan Değerlendirmenin son aşaması, yapılan işle ilgili her türlü detayın yer aldığı, Son Rapor’dur. Sistem üzerindeki başarılı ya da başarısız tüm araştırmaları ve yapılan saldırıları içerecek şekilde tüm önemli bulgular raporda yer alacaktır. Bu rapor sayesinde güvenlik taramasına dahil ettiğiniz sistemlerin güçlü ve zayıf olduğu noktaları takdir edebilecektir.
Değerlendirme neticesinde elde edilen bulgular ışığında Firma, Kurum sistemlerin güvenilirliğinin arttırılması konusunda kesin açıklamalar ve önerilerde bulunacaktır.
Bu değerlendirme aşamaları sırasında yüksek güvenlik riski taşıyan herhangi bir noktayla karşılaşıldığı takdirde, Kurum için gerekli önlemlerin hızlı bir şekilde alınabilmesi açısından acil olarak uyarılacaktır.
Müşteri kritik sunucuları, genel anlamda elektronik iletişim güvenliği konusunda, bilinen güvenlik açıkları doğrultusunda çeşitli araçlarla incelenerek, yapılan çalışma sonuçları bir rapor olarak sunulacaktır. Raporun ışığında Müşteri’nin elektronik güvenlik açıklarının hangi seviyede olduğu, açıklarını kapatması için neler yapması gerektiği belirlenebilecektir. Çalışma kapsamında elektronik dünyanın güncel açıklarına göre;
• Şifre politikaları
• Kolay tahmin edilebilir şifrelerin belirlenmesi
• Sunucuların açık sistem kapıları (port)
• Dosya sistemi güvenliği
• Paylaşımdaki dizinlerin belirlenmesi
• Sunuculardaki yama açıkları
• İşletim sistemi açıkları
• İstenmeyen ya da bilinmeyen erişim şekilleri
• Kullanılan yazılımlardaki bilinen elektronik açıklar
gibi çeşitli konularda taramalar yapılacaktır.
Ayrıca ağa bağlanabilen herhangi bir bilgisayar ile iletişim ağı hakkında bilgi toplanacak ve iletişim altyapısındaki güvenliğin Müşteri’nin çalışma hedeflerine uygunluğu incelenecektir. Kullanılan güvenlik önlemlerinin çalıştığının görülmesi durumunda Bilgi Sistemleri yetkililerinin bilgileri dahilinde sistemi zorlamaya yönelik adımlar denenebilecektir.
Açıkları taranan sistemlerde bulunan elektronik açıklar, açıkların tanımı, ne tür ihlallere sebep olabileceği ve ne şekilde kapatılacağı bilgilerini içerecek şekilde ve sistemler bazında detaylı bir rapor olarak sunulacaktır.
WEB UYGULAMASI DENETİMİ METODOLOJİSİ
Yüklenici’nin ileri seviye web uygulaması denetim metodolojisi ile web uygulamanız son tekniklerle değerlendirilmeye tabi tutulur. Yüklenici danışmanları öncelikle web uygulamanızın fonksiyonalitesi ve risk profilini çıkartır. Bu temelden yola çıkan değerlendirme, uygulamanızın güvenlik açıklarının tespiti için tam kapsamlı bir çalışmadır.
Yüklenici tarafından yapılan web uygulamaları denetimi; manuel olarak aşağıda anlatılan yöntemlerin uygulanması ve daha sonraki süreçte otomatik/yarı-otomatik tarama programları ile uygulamanın denetlenmesini içeren iki kademeli bir çalışmadan oluşmaktadır. Yüklenici uzmanları denetim sırasında iki farklı şapka takarlar:
• Yetkisiz kullanıcı: Web uygulamasına giriş hakkı sağlayamamış saldırganlar tarafından oluşturulabilecek riskleri tespit eder.
• Yetkili Kullanıcı: Web uygulamasına giriş hakkı olan, ancak verilen hakları arttırıp zararlı faaliyetlere girişebilecek kullanıcıların oluşturabilecekleri riskleri tespit eder. Uygulama Denetimi çalışmamız aşağıdakileri kapsar:
• Web uygulamanızın fonksiyonel incelemesi,
• Web uygulamanızın güvenlik açıkları ve konfigürasyon hatalarının kapsamlı tespiti,
• Ortak zaafiyetleri ve konfigürasyon hatalarının tespiti için web uygulamanızı doğrudan destekleyen ağ altyapısının güvenlik denetimi,
• Güvenlik açıklarınızdan kurtulmanız veya etkilerini hafifletmeniz için tavsiyeleri içeren detaylı bir rapor.
Bu çalışma 1 adet uygulama için yapılacaktır.
Metodoloji
Yapılandırma Açıkları Taraması ve Haritalama
Yapılandırm Açıkları Taraması, lojik bir yapı çerçevesinde uygulama sunucusuna yapılan HTTP isteklerinin ve bu isteklere gelen cevapların yorumlanmasından oluşmaktadır. Manuel taramada öncelikli olarak uygulama yapısı analiz edilerek, sunucunun üzerinde bulunduğu yapı ortaya çıkarılır
Uygulama Haritalama: Bu çalışma içerisinde siteniz / uygulamanız içerisindeki bilinen ve bilinmeyen bütün bağlantılar haritalanır ve daha sonraki güvenlik kontrolleri için kullanılır.
Dizin Listeleme: Uygulama sunucusu üzerinde tespit edilebilen veya ihtimal gereği kontrol edilerek tespit edilen dizinler tespit edilerek listelenir. Böylece hedef uygulamanın yapısı tama yakın bir şekilde anlaşılmaya çalışılır.
Gizli Web Dizinleri: Uygulama içerisinde bulunan gizli veya yorum satırı haline getirilmiş dizin adresleri tespit edilerek, genel kullanıma açık olmayan sunucu adresleri tespit edilir.
Yedek Dizin Kontrolleri: Yedek ve kod dosyalarının genellikle saklandığı dizinlerin sisteminizde bulunup bulunmadığı kontrol edilir. Sistem yöneticileri ve uygulama geliştiriciler genellikle sistemin yedek kopyalarını sunucu üzerinde başka bir adreste daha bulundurmayı tercih ederler. Bu kontrol saldırganların yedeklerin bulunduğu dizinlerden bu dosyaların alınıp alınamayacağının kontrol edilmesini içerir.
Otomatize Araçlar ile Güvenlik Açığı Taraması
Otomatize güvenlik açığı tarama yazılımları, web uygulamalarında bulunan yayınlanmış güvenlik açıkları ve bilinen saldırı yöntemlerini kullanılarak güvenlik açığı taramakta ve raporlamaktadır. Çeşitli programlama dilleri ile çalışabilmeleri, yayınlanmış güvenlik açıklarını takip edebilmeleri, farklı web teknolojilerine verdikleri destek ve destekledikleri doğrulama yöntemleri doğrultusunda verimli olarak güvenlik açıklarını saptamaktadırlar. Ancak özelliklerinin yetersiz olduğu durumlar ya da web uygulamasının standart dışı olduğu durumlarda sağladıkları verim kısıtlıdır. Bu kısıtlamalardan kurtulmak ve doğru sonuca yaklaşabilmek amacıyla, 5’in üzerinde yazılım tarama aracı kullanılmaktadır.
Bilinen Saldırı Yöntemleri ile Güvenlik Açığı Taraması
Çıkarılan yapı üzerine, aşağıda belirtilen uygulama zaafiyetleri çerçevesinde sayısız test, manuel olarak bütün parametrelere uygulanır.
1) Doğrulanmamış Girdi Kabul Edilmesi
Teyid edilmemiş girdi yöntemi ile, sunucu üzerine gönderilen URL parametrik değerlerinin değiştirilmesi sonucu, sunucu tarafında izinsiz erişim sağlanabilir ve çalışan web servisinin engellenebilir. Bütün URL parametrik değerleri ilgili güvenlik açığı için Yüklenici uzmanları tarafından kontrol edilir.
2) Çapraz Site Komut Çalıştırması
XSS olarak da tanımlanan bu web uygulaması açığı Teyid Edilmemiş Girdi yöntemi içeriğinde bulunan bir uygulama açığı türüdür. Web uygulamaları bir saldırıyı son kullanıcıya browser’ı vasıtasıyla iletmek için bir araç olarak kullanılabilir. Başarılı bir saldırgan, son kullanıcının oturum izini afişe edebilir, yerel makineye saldırabilir veya kullanıcıyı kandırmak için içeriği taklit edebilir. Son kullanıcı odaklı olan bu saldırı türünde uygulama sunucusu araç olarak kullanılır. Yüklenici hem yetkisiz kullanıcısı şapkasıyla hem de yetkili bir kullanıcı olarak uygulama kodlarını inceler, javascript, vbscript, perlscript gibi dilleri için bulunan açıklar, çözümleri ile birlikte raporlanır.
3) Bellek Taşması
Web uygulamaları üzerinde bellek taşması, uygulamanın kullandığı herhangi bir programlama dili kütüphanesinde bulunan bir açıktan kaynaklanan ve sunucu üzerine gönderilen değişkenlerle suistimal edilebilen bir açıktır. Genelde web uygulamaları üzerinde Bellek Taşması bulunduğu takdirde sunucu tarafında http bağlantısı direk kesilebildiği gibi sunucu üzerinde kod çalıştırılması da mümkündür. Yüklenici tarafından web uygulamaları için kullanılan kütüphaneler üzerinde oluşmuş hata raporları gözden geçirilerek uygulama üzerinde kontrol yapıldığı gibi uygulama kodları üzerinde parametre değerlerine bellek taşması uygulanır. Tespit edilen bellek taşmaları detaylı bilgi ve çözümleri ile rapor edilir.
4) Hatalı Giriş Kontrolü
Kullanıcılar için site üzerinde yapılandırılmış olan erişim kontrolü sayesinde farklı kullanıcılar farklı kategorilerde erişim sağlayabilmektedirler. Aynı şekilde sunucu üzerinde kullanıcıların fark etmediği dizin erişim yetkileri bulunabilmektedir. Var olan uygulama üzerinde standart kullanıcı hesabı ile erişim denetimi kontrol edilir. Kırılmış Giriş Kontrolü için, kullanıcı ID bilgisinin uygulama üzerinde güvenilirliği testi, “Path Traversal” testi ve “Dosya Erişimi” testi yapılarak edinilen bulgular rapor edilir.
5) Hatalı Doğrulama ve Oturum Yönetimi
Web Uygulaması üzerindeki oturum kontrolü ve buna bağlı oluşan kimlik doğrulaması üzerinde saptanan açıklar, kullanıcı bazlı bilgi çalınması ve imitasyon riski taşıyabilmektedir. Öncelikli olarak uygulamanın oturum yönetimi biçimi saptanıp, oturum id değeri çalınma riski tespit edilip oturum değerinin şifreleme algoritması kontrolü yapılır. Bundan sonraki süreçte kullanıcı bilgileri ile ilgili verilerin POST / GET üzerindeki dönme değerleri incelenerek site güvenilirliği gözden geçirilir.
6) Enjeksiyon Kusurları
Enjeksiyon kusurları, web uygulamasında çalıştırılan kod üzerinden diğer uygulamalar üzerine izinsiz geçiş hakkına sebebiyet verebilmektedir. SQL Injection ve XPath Injection olarak tanımlanan ve bu tür içinde en çok görülen açık tanımları olup, sistem üzerinde izinsiz veri çalınması ve okunması riski taşıyabilmektedir. Bunun dışında web uygulamasını kullanarak sistem üzerinde komut çalıştırma da enjeksiyon kusurları arasında yer almaktadır. Yüklenici tarafından SQL ve XPath injection testi, hem normal parametre değeri çalıştırma kontrolü; hemde “blind” olarak tabir edilen SQL sistem yapısı üzerinden sorgu kontrolünü içermektedir. Ayrıca programlama hatasından kaynaklanan herhangi bir komut çalıştırma belirlendiği takdirde kullanılan programlama dili üzerinde açığın kaynağı belirlenip gerekli destek verilmektedir.
7) Uygunsuz Hata İşleme
Web uygulamaları üzerinde oluşan hata çıktıları sistemin çalışması hakkında detaylı bilgiler verebilmektedir.Ayrıca saptanan hata mesajları kendi türüne göre sistem üzerinde yavaşlama ve aynı hata mesajına yoğun istekler yapıldığında sistemin çökmesine sebebiyet verebilmektedir. Yüklenici tarafından hata mesajı oluşmasına sebebiyet veren parametreler, uygulama üzerinde belirlenerek rapor edilir.
8) Güvensiz Saklama
Uygulama üzerinde barındırılan verilerin saklanma biçimi, web uygulamalarında önemli bir risk taşımaktadır.Yapılan testlerde daha çok algoritma eksiklikleri, kritik verinin şifrelenmemiş olması , kullanıcı şifrelerinin, anahtarların ve sertifikaların güvensiz yerlerde saklanmış olması güvenlik riski taşımaktadır. Yüklenici tarafından bahsedilenler üzerinde, kontroller ve testler yapılıp herhangi bir açık bulunduğu takdirde raporda sunulmaktadır.
9) Güvensiz Yönetim Arabirimi
Web Sunucusu üzerindeki sistem konfigürasyon ayarları kontrol edilir. Örnek olarak SSL ayarları, güvenlik yamaları, uygulama entegrasyonu, stabilite ayarları ve web sunucusu ile ilgili sistem hardening ve performans ayarları denetlenir.
Yayınlanmamış Güvenlik Açıkları Özel Taraması
Birçok web temelli uygulama kuruma özel olduğu için güvenlik açıkları da sadece o kuruma özel olmaktadır, bu nedenle otomatize güvenlik açığı tarama yazılımları ile saptanamayan güvenlik açıkları özel test yöntemleri Yüklenici danışmanları tarafından geliştirilen araçlar ve açık kaynaklı “proxy” yazılımları kullanılarak denetlenmekte, böylece bilinmeyen güvenlik açıklarına yönelik testler uygulanmaktadır.
Yapılandırma Hataları Analizi: Birçok uygulama ve işletim sistemi ön tanımlı kurulumları değiştirilmeden kullanılmaktadır. Bu nedenle söz konusu sistemlerde kullanılmadığı halde yüklü olan bileşenler, ön tanımlı kullanıcı hesapları veya erişimler nedeniyle sistemlerin ele geçirilmesi mümkün olmaktadır. Bu doğrultuda, saptanan sistemlerin yapılandırmaları özel olarak incelenmekte ve yapılandırmadan kaynaklanan güvenlik açıkları analiz edilmektedir.
Programlama Hataları Analizi: Uygulamaların geliştiricilerinin güvenlikten çok işlevselliğe önem vermesi sonucu oluşan, çoğunlukla kullanıcıdan gelen verinin kontrol edilmemesi, oturum takip sorunları, güvensiz veri depolama kaynağı kullanımı veya hatalı bellek yönetiminden kaynaklanan programlama hataları sonucunda hedef sistemler ele geçirilebilmektedir. Denetim sürecinde ilgili programlama hatalarına yönelik saldırılar saptanan tüm uygulamalarda farklı biçimlerde uygulanmakta ve sonuçlarının analiz edilmektedir.
Saptanan Güvenlik Açıklarının Değerlendirilmesi
Erişilebilen tüm sunucu, yönlendirici, güvenlik teknolojileri ve istemcilerin üzerinde bulunabilecek güvenlik açıkları tespit edilir. Bu son aşamada, önceki aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları göz önüne alınarak önem derecelerine göre sıralanılır. Tespit edilen güvenlik açıkları, taşıdıkları riskler değerlendirilir ve önemine göre sıralanır.
E-posta Servisi Güvenlik Analizi
E-posta servislerine özel testler yapılarak yanlış konfigürasyonlar tespit edilecek, kurum için oluşan riskler ortaya çıkarılacaktır;
Sosyal Mühendislik Testleri
Sosyal Mühendislik testleri kapsamında aşağıdaki işlemler yapılacaktır. Tarafımıza iletilecek kişi bilgileri hedef alınabileceği gibi açık kaynaklardan elde edilinebilecek kişiler de (talep edildiği takdirde) hedef alınabilecektir.
Dağıtık Servis Dışı Bırakma Testleri
Teknik bir kaynaktan ve gerektiği takdirde çok kaynaktan (dağıtık) yapılacak servis dışı bırakma testleri ile hem bant genişliği test edilecek, hem de yazılımsal zafiyetlerin servislerin hizmet vermesine (availability) engel oluşturacağı noktalar belirlenecektir.
Çözüm Geliştirme ve Rapor Hazırlığı
Yukarıdaki bütün işlemler tamamlandıktan sonra, güvenlik uzmanlarımız tespit edilen bulgular ve güvenlik açıklarından hareketle her bir güvenlik açığı için çözüm önerileri oluşturur ve raporlar. Sonuçta size sunulan raporda, sonuçların genel olarak özetlendiği bir yönetici özeti bölümü vardır. Bu yönetici özetinde, tespit edilmiş güvenlik açıklarının toplamı ve tek tek çalışır durumdaki cihaz bazındaki dağılımlarına ait grafikler bulunur. Raporun takip eden sayfaları tespit edilmiş güvenlik açıklarına ait açıklamalar, bu açıkların risk öncelikleri, kapatılmasına yönelik öneriler ve söz konusu açıkla ilgili referanslar bulunur. Yapılan Değerlendirmenin son aşaması, yapılan işle ilgili her türlü detayın yer aldığı, Son Rapor’dur. Sistem üzerindeki başarılı ya da başarısız tüm araştırmaları ve yapılan saldırıları içerecek şekilde tüm önemli bulgular raporda yer alacaktır. Bu rapor sayesinde güvenlik taramasına dahil ettiğiniz sistemlerin güçlü ve zayıf olduğu noktaları takdir edebilecektir. Değerlendirme neticesinde elde edilen bulgular ışığında Yüklenici, kurumun sistemlerinin güvenilirliğinin arttırılması konusunda kesin açıklamalar ve önerilerde bulunacaktır. Bu değerlendirme aşamaları sırasında yüksek güvenlik riski taşıyan herhangi bir noktayla karşılaşıldığı takdirde, kurum gerekli önlemlerin hızlı bir şekilde alınabilmesi açısından acil olarak uyarılacaktır.
Dışarıdan yapılacak tarama hizmetinde Kurulun kullandığı internete açık web, uygulama veya servisleri ile bu sistemlerin çalıştığı sunucuların güvenlik sorunları ve bu sorunların oluşturabileceği tehditler tespit edilecektir.
Dış tarama sonucunda sistemler üzerinde bulunan Bilginin gizliliği, bütünlüğü ve erişilebilirliği tespit edilecek olup bununla ilgili riskler ortaya çıkarılacaktır.
Yapılacak olan çalışmanın genel başlıkları şu şekildedir;
1. Erişim Kontrolü (Authentication ) Mekanizmaları : Kullanılan uygulamalara ve işletim sistemlerine ilişkin erişim kontrolü mekanizmalarının ve açıklarının belirlenmesi ve tavsiyeleri kapsayacaktır.
2. Port Taraması : İnternet’e hangi portların açık olduğunu belirlemeye yönelik tarama çalışmasıdır.
3. İçerik Güvenliği : Anti-Virüs yazılımları, sonucu, ağ geçidi (gateway), SMTP gateway gibi Kurul bilişim sisteminin giriş noktaları üzerindeki önlemler, güncellemeler ve eksiklikler raporlanacaktır.
4. Servis, İşletim Sistemi ve Uygulama Açıkları : Sunucular üzerinde çalıştırılan gereksiz servisler, işletim sistemi açıkları, kullanılan uygulama açıkları, service pack ve patch durumları değerlendirilecektir. Risk sınıflandırılması yapılacaktır.
5. Sınır Kontrolü : Router ve firewall kural tabanı, erişim mekanizmaları, filtreler, Denial of Service (DoS) ataklarına karşı önlemler, DNS güvenliği irdelenerek ne kadar bilgi alınabildiği test edilecektir.
6. Sınır Savunma : Router erişim listerleri (Access list), güvenlik duvarı kural tabanları, DNS patch’leri ve konfigürasyonları ile ilgili detayları tavsiyeler verilecektir.
7. Intrusion Dedection : İstenmeyen trafiklerin izlenmesi için önerilen intrusion dedection sistemlerine yönelik bilgiler ve tavsiyeler verilecektir.
8. İçerik Savunma : Anti-vandal, anti-virüs vb. sistemler hakkında bilgiler ve tavsiyeler verilecektir.
Ayrıca tarama özelinde yapılacak olan çalışmalar ise:
Dış Tarama Hizmeti kapsamında;
1. Web Uygulamasına özel güvenlik açıklarının kontrolü : Web tabanlı yazılımlara giriş yaparak programlamadan sistem konfigürasyonundan, web servislerinden kaynaklanabilecek açıklar nedeniyle sisteme ne derece ve nasıl kötüye kullanılabileceğinin, yazılım kodları incelenmeden kontrol edilesi.
2. Kayıt veri tabanı araştırması ve kontrolleri,
3. Kullanılan IP adreslerinin ve etki alanlarının bulunması,
4. Doğruluk için ilgili kişilerin kontrolü,
5. Başka kurumlara ait benzer etkin alan sistemlerinin araştırılması,
6. İnternet yönlendirme kontrolleri : Kullanılmakta olan tüm IP adreslerinin doğru noktalara yönlendirilip yönlendirilmediğinin kontrolü ve hiçbirinin başka noktalara yönlendirilmemiş olduğundan emin olunması,
7. DNS araştırması ve kontrolleri : İlan edilmiş DNS bilgilerinin alınması ve Kurul İnternet sunucularının belirlenmesi, DNS sunucu konfigürasyonlarının uygunluk kontrolü,
8. İnternet Yönlendiricisinin kontrolü :
a. Kurulun internet yönlendiricisinden hangi ağ bilgilerinin alınabileceğinin belirlenmesi
b. Yönlendirme açıklarının kontrolü,
c. Paket filtreleme açıklarının kontrolü,
d. Yönlendirici tarafından verilen hizmetlerin belirlenmesi ve hassas hizmetlerin kontrolü
e. Anabilgisayar tabanlı yönlendiriciler için işletim sistemi açıklarının kontrolü
9. Firewall kontrolleri
a. Proxy servisleri kontrolü
b. Yönlendirme açıklarının kontrolü
c. Paket filtreleme açıklarının kontrolü
d. İşletim sistemi açıklarının kontrolü
10. İnternet sunucu kontrolleri(eximbank.com.tr ve secure.eximbank.com.tr alanları için DNS sunucusu, Web sunucusu elektronik posta sunucusu, FP sunucusu v.b)
a. İnternet sunucuları üzerindeki erişebilir servislerin belirlenmesi ve bunların açıklarının kontrolü
b. İşletim sistemi açıklarının kontrolü
c. Uygulamaya özl açıların kontrolü
d. Halka açık elektronik posta ve haber hizmetlerinin spam'e yol açıp açmadığının kontrolü
11. Görülebilir sunucu olmayan ana bilgisayarların (host) taranması (Visible non-server host scan)
a. İnternet üzerinden görülebilen KURUL'un ilan edilmiş internet sunucusu dışındaki ağ makinelerinin kontrolü
b. Söz konusu makineler üzerindeki erişilebilir servislerin belirlenmesi
c. İşletim sistemi açıklarının kontrolü
Kaynak : https://www.linkedin.com/pulse/s%25C4%25B1zma-testi-hizmetleri-ve-firma-de%25C4%259Ferlendirme-ibrahim-aslanbakan/?trackingId=C1difMljSxOAMDZUIr8MCg%3D%3D