Sızma testi metodolojileri ve standartları - IBM Blogu

Çevrimiçi alan hızla büyümeye devam ediyor ve bir bilgisayar sistemi, ağ veya web uygulaması içinde siber saldırıların gerçekleşmesi için daha fazla fırsat açıyor. Bu tür riskleri azaltmak ve bunlara hazırlanmak için sızma testi, bir saldırganın kullanabileceği güvenlik açıklarını bulmada gerekli bir adımdır.

Sızma testi nedir?

A penetrasyon testi, veya "kalem testi", eylem halindeki bir siber saldırıyı taklit etmek için yürütülen bir güvenlik testidir. A cyberattack Kimlik avı girişimini veya ağ güvenlik sisteminin ihlalini içerebilir. İhtiyaç duyulan güvenlik kontrollerine bağlı olarak bir kuruluşun kullanabileceği farklı türde penetrasyon testleri vardır. Test, belirli bir eylem planı veya kalem testi metodolojisi aracılığıyla manuel olarak veya otomatik araçlarla çalıştırılabilir.

Neden penetrasyon testi yapılıyor ve kimler katılıyor?

Şartlar "etik hackleme” ve “penetrasyon testi” bazen birbirinin yerine kullanılır, ancak bir fark vardır. Etik hackleme daha kapsamlıdır siber güvenlik Ağ güvenliğini artırmak için bilgisayar korsanlığı becerilerinin her türlü kullanımını içeren alan. Sızma testleri etik hackerların kullandığı yöntemlerden sadece bir tanesidir. Etik bilgisayar korsanları ayrıca zarar vermek yerine güvenlik zayıflıklarını ortaya çıkarmak ve düzeltmek için kötü amaçlı yazılım analizi, risk değerlendirmesi ve diğer bilgisayar korsanlığı araçları ve teknikleri de sağlayabilir.

IBM'in Veri İhlal Raporunun Maliyeti 2023, bir veri ihlalinin küresel ortalama maliyetinin 2023 yılında 4.45 yılda %15 artışla 3 milyon ABD doları olduğunu tespit etti. Bu ihlalleri azaltmanın bir yolu, doğru ve hedefe yönelik sızma testleri gerçekleştirmektir.

Şirketler, uygulamalarına, ağlarına ve diğer varlıklarına yönelik simüle edilmiş saldırılar başlatmak için kalem test uzmanları kiralıyor. Sızma test uzmanları sahte saldırılar düzenleyerek yardımcı olur güvenlik ekipleri Kritik güvenlik açıklarını ortaya çıkarın ve genel güvenlik duruşunu iyileştirin. Bu saldırılar genellikle kırmızı ekipler veya saldırgan güvenlik ekipleri tarafından gerçekleştirilir. kırmızı takım Güvenlik riskini değerlendirmenin bir yolu olarak, gerçek saldırganların taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) kuruluşun kendi sistemine karşı simüle eder.

Kalem testi sürecine girerken dikkate almanız gereken çeşitli penetrasyon testi metodolojileri vardır. Kuruluşun seçimi, hedef kuruluşun kategorisine, sızma testinin amacına ve güvenlik testinin kapsamına bağlı olacaktır. Herkese uyacak tek bir yaklaşım yoktur. Pen testi sürecinden önce adil bir güvenlik açığı analizinin yapılabilmesi için bir kuruluşun güvenlik sorunlarını ve güvenlik politikasını anlaması gerekir.

X-Force'tan kalem testi demolarını izleyin

En iyi 5 penetrasyon testi metodolojisi

Kalem testi sürecindeki ilk adımlardan biri, hangi metodolojinin takip edileceğine karar vermektir.

Aşağıda, paydaşları ve kuruluşları kendi özel ihtiyaçları için en iyi yönteme yönlendirmeye yardımcı olmak ve bu yöntemin gerekli tüm alanları kapsamasını sağlamak için en popüler beş penetrasyon testi çerçevesine ve pen test metodolojisine değineceğiz.

1. Açık Kaynak Güvenlik Testi Metodolojisi Kılavuzu

Açık Kaynak Güvenlik Testi Metodoloji Kılavuzu (OSSTMM), sızma testinin en popüler standartlarından biridir. Bu metodoloji, güvenlik testleri için hakemli değerlendirmeden geçmiştir ve Güvenlik ve Açık Metodolojiler Enstitüsü (ISECOM) tarafından oluşturulmuştur.

Yöntem, test uzmanları için erişilebilir ve uyarlanabilir kılavuzlarla kalem testine yönelik bilimsel bir yaklaşıma dayanmaktadır. OSSTMM, metodolojisinde operasyonel odaklanma, kanal testi, ölçümler ve güven analizi gibi temel özellikleri içerir.

OSSTMM, kalem testi profesyonelleri için ağ penetrasyon testi ve güvenlik açığı değerlendirmesi için bir çerçeve sağlar. Sağlayıcıların hassas veriler ve kimlik doğrulamayla ilgili sorunlar gibi güvenlik açıklarını bulup çözmeleri için bir çerçeve olması amaçlanıyor.

2. Web Uygulama Güvenliği Projesini Açın

Açık Web Uygulama Güvenliği Projesi'nin kısaltması olan OWASP, web uygulaması güvenliğine adanmış açık kaynaklı bir kuruluştur.

Kâr amacı gütmeyen kuruluşun hedefi, tüm materyallerini kendi web uygulama güvenliğini geliştirmek isteyen herkes için ücretsiz ve kolayca erişilebilir hale getirmektir. OWASP'ın kendine ait Üst 10 (bağlantı dışarıdadır IBM.com), siteler arası komut dosyası çalıştırma, bozuk kimlik doğrulama ve güvenlik duvarının arkasına geçme gibi web uygulamalarına yönelik en büyük güvenlik endişelerini ve risklerini özetleyen bakımlı bir rapordur. OWASP, OWASP Test Kılavuzunun temeli olarak ilk 10 listesini kullanır. 

Kılavuz üç bölüme ayrılmıştır: Web uygulaması geliştirme için OWASP test çerçevesi, web uygulaması test metodolojisi ve raporlama. Web uygulaması metodolojisi ayrı olarak veya web uygulaması penetrasyon testi, mobil uygulama penetrasyon testi, API penetrasyon testi ve IoT penetrasyon testi için web test çerçevesinin bir parçası olarak kullanılabilir.

3. Sızma Testi Uygulama Standardı

PTES veya Sızma Testi Yürütme Standardı, kapsamlı bir penetrasyon testi yöntemidir.

PTES, bilgi güvenliği uzmanlarından oluşan bir ekip tarafından tasarlanmıştır ve pen testinin tüm yönlerini kapsayan yedi ana bölümden oluşur. PTES'in amacı, kuruluşların bir penetrasyon testinden ne beklemeleri gerektiğini özetlemek ve onlara katılım öncesi aşamadan başlayarak süreç boyunca rehberlik etmek için teknik kılavuzlara sahip olmaktır.

PTES, sızma testleri için temel olmayı ve güvenlik profesyonelleri ve kuruluşları için standartlaştırılmış bir metodoloji sağlamayı amaçlamaktadır. Kılavuz, baştan sona penetrasyon testi sürecinin her aşamasındaki en iyi uygulamalar gibi çeşitli kaynaklar sağlar. PTES'in bazı temel özellikleri kullanım ve kullanım sonrasıdır. Sömürü, bir sisteme aşağıdaki gibi sızma teknikleri yoluyla erişim sağlama sürecini ifade eder: sosyal mühendislik ve şifre kırma. Kullanım sonrası, verilerin tehlikeye atılmış bir sistemden çıkarılması ve erişimin sürdürülmesidir.

4. Bilgi Sistemi Güvenliği Değerlendirme Çerçevesi

Bilgi Sistemi Güvenliği Değerlendirme Çerçevesi (ISSAF), Bilgi Sistemleri Güvenlik Grubu (OISSG) tarafından desteklenen bir pen test çerçevesidir.

Bu metodoloji artık korunmamaktadır ve muhtemelen en güncel bilgiler için en iyi kaynak değildir. Bununla birlikte, temel güçlü yönlerinden biri, bireysel kalem testi adımlarını belirli kalem testi araçlarıyla ilişkilendirmesidir. Bu tür bir format, kişiselleştirilmiş bir metodoloji oluşturmak için iyi bir temel olabilir.

5. Ulusal Standartlar ve Teknoloji Enstitüsü  

Ulusal Standartlar ve Teknoloji Enstitüsü'nün kısaltması olan NIST, federal hükümetin ve dış kuruluşların takip etmesi için bir dizi kalem testi standardı sağlayan bir siber güvenlik çerçevesidir. NIST, ABD Ticaret Bakanlığı bünyesindeki bir kurumdur ve uyulması gereken minimum standart olarak kabul edilmelidir.

NIST penetrasyon testi, NIST tarafından gönderilen kılavuzla uyumludur. Bu tür bir rehbere uymak için kuruluşların önceden belirlenmiş yönergeleri takip ederek penetrasyon testleri yapması gerekir.

Kalem testi aşamaları

Kapsam belirleyin

Kalem testi başlamadan önce test ekibi ve şirket testin kapsamını belirler. Kapsam, hangi sistemlerin test edileceğini, testin ne zaman gerçekleşeceğini ve kalem testçilerinin kullanabileceği yöntemleri özetlemektedir. Kapsam aynı zamanda kalem testçilerinin önceden ne kadar bilgiye sahip olacağını da belirler.

Testi başlatın

Bir sonraki adım, kapsam belirleme planını test etmek ve güvenlik açıklarını ve işlevselliği değerlendirmek olacaktır. Bu adımda kurumun altyapısının daha iyi anlaşılması için ağ ve zafiyet taraması yapılabilir. Kuruluşun ihtiyaçlarına göre iç test ve dış test yapılabilir. Kara kutu testi, beyaz kutu testi ve gri kutu testi dahil olmak üzere kalem testçilerinin yapabileceği çeşitli testler vardır. Her biri hedef sistem hakkında değişen derecelerde bilgi sağlar.

Ağa genel bir bakış oluşturulduktan sonra test uzmanları, verilen kapsam dahilinde sistemi ve uygulamaları analiz etmeye başlayabilir. Bu adımda, kalem testçileri herhangi bir yanlış yapılandırmayı anlamak için mümkün olduğunca fazla bilgi topluyor.

Bulgulara ilişkin rapor

Son adım raporlamak ve bilgi almaktır. Bu adımda, tespit edilen güvenlik açıklarını özetleyen kalem testinden elde edilen tüm bulguları içeren bir penetrasyon testi raporu geliştirmek önemlidir. Rapor, hafifletme planını ve iyileştirme yapılmazsa potansiyel riskleri içermelidir.

Kalem testi ve IBM

Her şeyi test etmeye çalışırsanız zamanınızı, bütçenizi ve kaynaklarınızı boşa harcarsınız. Geçmiş verilere sahip bir iletişim ve işbirliği platformu kullanarak, güvenlik testi programınızı optimize etmek için yüksek riskli ağları, uygulamaları, cihazları ve diğer varlıkları merkezileştirebilir, yönetebilir ve önceliklendirebilirsiniz. X-Force® Red Portal, iyileştirme çalışmalarına katılan herkesin, güvenlik açıkları ortaya çıkarıldıktan hemen sonra test bulgularını görüntülemesine ve güvenlik testlerini kendilerine uygun bir zamanda planlamasına olanak tanır.

X-Force'un ağ penetrasyon testi hizmetlerini keşfedin