Ağ güvenlik testleri, kuruluşların bilgi sistemlerinin güvenliğini değerlendirmek ve zayıf noktaları belirleyerek potansiyel siber saldırıları engellemek için kritik bir adımdır. Bu testler, ağ altyapısının ve uygulamalarının güvenilirliğini artırarak kurumların dijital varlıklarını korumaya yardımcı olur.
Güvenlik Değerlendirmesi
Güvenlik açığı tarayıcıları: Bir güvenlik açığı tarayıcısı, bilgisayarları, bilgisayar sistemlerini, ağları veya uygulamaları zayıf noktalar açısından değerlendirir. Güvenlik açığı tarayıcıları, ağı güvenlik risklerine karşı tarayarak ve güvenlik açıklarını gidermek için önceliklendirilmiş bir liste oluşturarak güvenlik denetiminin otomatikleştirilmesine yardımcı olabilir. Bu tarayıcılar, varsayılan parolaları, açık durumdaki portları ve tamamlanmamış konfigürasyon ayarlarını bulmaya yarar. Nessus, Retina ve Core Impact piyasada sıklıkla kullanılan tarayıcı araçlarıdır.
Güvenlik açığı tarayıcıları ağ, uygulama ve web uygulaması olmak üzere 3 çeşitten oluşmaktadır.
Güvenlik Otomasyonu
SIEM(Security Information and Event Management): Sunuculardan, network cihazlarından ve güvenlik cihazlarından günlük olarak logları toplamaya yarayan araçlardır. İç ve dış tehditleri tespit etmek, kaynak cihazların aktivitelerini kontrol etmek, denetimler için uyumluluk raporlarının yayınlanması ve olay raporunun desteklenmesini sağlamak gibi işlevleri yerine getirirler. SIEM sistemi potansiyel bir sorun tespit ettiğinde ek bilgileri günlüğe kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik kontrollerine bir etkinliğin ilerleyişini durdurma talimatı verebilir. Oluşturulan raporları incelemeniz gerektiğinden, SIEM sistemini uygularken kritik sistemlerden kaydedilen veri miktarı önemli bir husustur.
SOAR(Orchestration Automation and Response):SOAR, bir kuruluşun çeşitli kaynaklardan güvenlik tehditleri hakkında veri toplamasına ve düşük düzeyli olaylara insan müdahalesi olmadan yanıt vermesine olanak tanır. Tehdit ve zafiyet yönetimi, güvenlik olay yanıtı ve güvenlik işlemleri otomasyonları gibi işlevleri yerine getirir. Bir kuruluş SOAR’ı, SIEM’e entegre edebilir.
Ağ testi Çeşitleri
Penetration Testing: Pentestler kötü niyetli kaynaklardan gelen saldırıları simüle etmeye yarar. Amaç bir saldırının fizibilitesini ve gerçekleşmesi durumunda oluşabilecek durumları incelemektir. Sızma testleri müşterinin tesislerine erişmeyi veya sosyal mühendislik saldırısı yapmayı amaçlar.
Network Scanning: Bilgisayarlara ping atabilen, TCP bağlantı noktalarını dinleyenleri tarayabilen ve ağda hangi tür kaynakların bulunduğunu görüntüleyebilen yazılım içerir.
Vulnerability Scanning: Bu, test edilen sistemlerdeki potansiyel zayıflıkları tespit edebilen yazılımı içerir. Bu zayıflıklar arasında yanlış yapılandırma, boş veya varsayılan parolalar veya DoS saldırıları için potansiyel hedefler yer alabilir.
Password Cracking: Bu, değiştirilmesi gereken zayıf şifreleri test etmek ve tespit etmek için kullanılan yazılımı içerir. Parola politikaları, zayıf parolaları önlemeye yönelik yönergeler içermelidir.
Log Review: Sistem yöneticileri, olası güvenlik tehditlerini belirlemek için güvenlik günlüklerini incelemelidir. Uzun günlük dosyalarını taramak için filtreleme yazılımı, araştırılacak anormal etkinliğin keşfedilmesine yardımcı olması için kullanılmalıdır.
Virus Detection: Virüs içerikli yazılımları tespit etmeye ve kullanılan ağa bağlı cihazdan uzaklaştırmaya yarar.
Ağ Güvenlik Testi Araçları:
Nmap/Zenmap: Ağa bağlı cihaz veya sunuculardaki işletim sistemlerini tespit etmeye yarar. Ağın bir haritasını çıkarır.
SuperScan: Bağlantı noktası tarama yazılımı, açık TCP ve UDP bağlantı noktalarını tespit etmek, bu bağlantı noktalarında hangi hizmetlerin çalıştığını belirlemek ve whois, ping, traceroute ve ana bilgisayar adı aramaları gibi sorguları çalıştırmak için tasarlanmıştır.
SIEM(Security Information Event Management): SIEM, kurumsal organizasyonlarda güvenlik olaylarının gerçek zamanlı raporlamasını ve uzun vadeli analizini sağlamak için kullanılan bir teknolojidir. SIEM’in temel görevleri:
a.)Correlation – Farklı sistemlerden veya uygulamalardan gelen günlükleri ve olayları inceleyerek güvenlik tehditlerinin algılanmasını ve bunlara tepki verilmesini hızlandırır.
b.)Aggregation- Toplama, yinelenen olay kayıtlarını birleştirerek olay verilerinin hacmini azaltır.
c.)Forensic Analysis – Kuruluş genelindeki kaynaklardan günlükleri ve olay kayıtlarını arama yeteneği, adli analiz için daha eksiksiz bilgi sağlar.
d.)Retention – Raporlama, ilişkili ve toplu olay verilerini gerçek zamanlı izleme ve uzun vadeli özetler halinde sunar.
Tripwire: Bu araç, BT yapılandırmalarını dahili politikalara, uyumluluk standartlarına ve en iyi güvenlik uygulamalarına göre değerlendirir ve doğrular.
Nessus: Bu, uzaktan erişime, yanlış yapılandırmalara ve TCP/IP yığınına karşı DoS’ye odaklanan bir güvenlik açığı tarama yazılımıdır.
L0phtCrack: Bu bir şifre denetleme ve kurtarma uygulamasıdır.
Metasploit: Bu araç, güvenlik açıkları hakkında bilgi sağlar ve sızma testi ile IDS imzası geliştirmede yardımcı olur.
Penetrating Testi
Penetrasyon testi çeşitli kötü amaçlı teknikler kullanarak sistemlerdeki zayıf alanları test etmenin bir yoludur. Sızma testi, bir saldırganın bir ağa yetkisiz erişim sağlamak ve sistemleri tehlikeye atmak için kullanacağı yöntemleri simüle eder ve kuruluşun gerçek bir saldırıyı ne kadar iyi tolere edebileceğini anlamasına olanak tanır. Pentest, gerçek hayattaki siyah şapkalı bilgisayar korsanlarının kullanacağı çeşitli yöntemleri kullanarak kaynaklara erişmeye çalışmak için bir kuruluşun izniyle bir web sitesini, ağı veya sunucuyu hacklemeyi içerir.
Black Box Testing: Sistemin iç yapısına dair bilgiye sahip olunmadan, sadece giriş ve çıkışlara odaklanarak yapılan test yöntemidir. Sisteme “kara kutu” gibi bakılır ve neyin nasıl çalıştığı bilinmez. Testler, sistemin işlevselliğini doğrulamak ve hatalı davranışları ortaya çıkarmak için tasarlanır.
Gray Box Testing: Hem siyah kutu hem de beyaz kutu testinin unsurlarını içeren bir test yöntemidir. Test uzmanları, sistemin bazı iç yapısı hakkında bilgi sahibi olabilir, ancak kodun tüm detaylarını bilmezler. Bu bilgi, test senaryolarını tasarlamak ve hataları daha etkin bir şekilde bulmak için kullanılır.
White Box Testing: Sistemin kodunun ve iç yapısının tam olarak bilinerek yapılan test yöntemidir. Test uzmanları, kod satırlarını inceleyerek ve hata ayıklayıcı kullanarak testler tasarlarlar. Beyaz kutu testi, kod hatalarını ve tasarım kusurlarını bulmak için idealdir.
Penetration Fazları
Planning: Testin yürütülmesine ilişkin kuralları belirler.
Discovery: Bilgi edinmek için hedef üzerinde keşif yapılmasıdır. Hedeflenen sistemle aktif etkileşim gerektirmeyen ve ayak izi olarak adlandırılan pasif teknikler; örneğin bilgi için kuruluşun web sitesine veya diğer kamu kaynaklarına bakabilirsiniz. Hedefle aktif etkileşimi gerektiren bağlantı noktası taraması da olabilir.
Attack: Bu aşamada, önceki aşamada toplanan bilgileri kullanarak sisteme erişmeye veya sisteme sızmaya çalışırsınız. Testi yapan kişi, artan ayrıcalıklar kazanmaya ve belki de yanal hareket yoluyla ağın daha derinlerine inmeye çalışır. Ağda yanal olarak hareket etmek için test cihazının birden fazla sistem arasında dönmesi gerekir. Testi yapan kişi ek araçlar yüklemeyi veya bir arka kapı yerleştirmeyi deneyebilir; bu süreç kalıcılık olarak bilinir. Test cihazı daha sonra sistemi temizleyecek ve geride kalan işaretleri kaldıracaktır.
Reporting: Bu aşamada test uzmanı, belirlenen güvenlik açıklarını, alınan önlemleri ve sonuçları içeren ayrıntılı belgeleri kuruluşa sunar.
Sonuç
Ağ güvenlik testleri bir kurumun tesislerine kötü niyetli kullanıcıların saldırmasını engelleyebilir. Verilerin yetkisiz erişime, değiştirilmeye veya silinmeye karşı korunmasına yardımcı olur.
Birçok sektörde, şirketlerin belirli güvenlik standartlarını karşılamaları gerekir. Ağ güvenlik testleri, şirketlerin bu standarda uyduğunu göstermelerine yardımcı olabilir. Güvenlik açıkları ağ performansını düşürebilir ve kesintilere neden olabilir. Ağ güvenlik testleri bu sorunların önüne geçmeye yardım edebilir.
