Sızma Testi (Penetrasyon Testi)

Sızma (Penetrasyon) Testi Nedir?

Sızma - Penetrasyon Testi kötü niyetli bir saldırgan perspektifinde, hedeflenen sistemlere ve verilere yetkisiz erişim sağlamayı amaçlayan bir saldırı similasyonudur. Dışarıdan gelebilecek saldırları önceden görüp önlem almak için sızma - penetrasyon testi yapılmalıdır.

Sızma (Penetrasyon) Testi Nasıl Yapılır?

Kurumların bilişim altyapısın içerisinde barındırdığı tüm sistemler, alanında uzman kişiler tarafından saldırganın kullanabileceği araç ve yöntemleri kullanarak sızılması ve elde edilen zafiyet sonuçlarının raporlanmasıdır.

Sızma Testi Süreçleri Nasıl Yürütülür?

Testin yapılacağı hedef sistemler müşteri tarafından belirlenir ve test edilecek sistemler hakkında testi yapan kuruma bilgi verilir. Gerekli sözleşmeler imzalandıktan sonra müşteri onayı ile testin yapılacağı IP adresi müşteri ile paylaşılır, böylelikle kuruma farklı IP adresinden gelen saldırıların test olup olmadığı anlaşılması sağlanır. Teste başlanılır, kritik bulgular test esnasında müşteri ile paylaşılırken, düşük seviyeli bulgular/zafiyetler test sonunda kritik bulgularla beraber raporlanır ve test sonlanır.

Sızma (Penetrasyon) Testi Nedir

Sızma (Penetrasyon) testi PCI-DSS, ISO 27001, CoBIT gibi uluslararası standartların yanı sıra Türkiye’de BDDK, EPDK ve SPK gibi regülatörler tarafından da yapılması zorunlu tutulan çalışmalardan biridir.

Sızma Testi Aşamaları Nelerdir?

1. Kapsam Belirlenmesi
Müşteri, testin yapılmasını istediği hedefi/kapsamı belirler. Testin yaklaşım türüne göre (Black Box, White Box, Gray Box) testi yapacak olan firma ile bilgiler paylaşılır.

2. Bilgi Toplama
Kapsam/Hedef hakkında pasif (sistem ile doğrudan etkileşime geçmeden) ve aktif (sistem ile doğrudan etkileşime geçerek) bilgi toplama işlemi gerçekleştirilir. Bunlara; kullanılan teknoloji, uygulama ve versiyon bilgisi, fonksiyonlar gibi bilgiler örnek gösterilebilir.

3. Güvenlik Açığı Tespiti
Toplanan bilgiler ışığında var olan güvenlik açıklıklarının belirlendiği aşamadır. Otomatize araçlar kullanılarak taranan sistemler, tarama sonrasında/esnasında uzmanlar tarafından manuel olarak test edilir. Bilgi toplama aşamasında tespit edilen servis ve versiyon bilgisi araştırılarak var olan bir güvenlik açığı olup olmadığı kontrol edilir.

4. Bilgilerin Analizi ve Planlama
Tespit edilen güvenlik açıklıklarının sömürülmesi için gerekli araştırmalar yapılarak sömürü kodları, zararlı yazılımlar gibi ofansif araçlar hazırlanır.

5. Sömürü Aşaması
Tespit edilen zafiyetler saldırgan bakış açısı ile sömürülmeye çalışılır ve zafiyetin sistem üzerindeki etkileri incelenir. Saldırgan, sisteme yetkisiz giriş yapabiliyor mu? Servisi durdurabiliyor mu? Gibi sorulara cevap aranır.

6. Yetki Yükseltme/Sömürü Sonrası Aşama
Saldırgan sisteme erişim elde ettikten sonraki aşamada halihazırdaki yetkilerini yükseltebilecek mi? Yetkisi olmayan dosyaları görebilecek mi? Veya sızılan sistem/ler kullanılarak nasıl ilerlenebilir? Ne gibi kritik dosyalara erişim sağlanabilir? Gibi sorulara yanıt aranır. Saldırganın sömürü sonrası yapacağı teknik/taktik/prosedürler simüle edilmeye çalışılır.

7. Temizlik
Test edilen sistemlerde yapılan değişiklikler geri alınır. Test için oluşturulan/yüklenen dosyalar sistemden temizlenir.

8. Raporlama
Yukarıdaki adımların özeti çıkarılır. Var olan veya ileride oluşabilecek potansiyel riskler, alınması gereken önlemler gibi bilgiler raporlanır.

Ağ Güvenlik Testleri

Ağ güvenlik testleri genel olarak kurumların network altyapılarının ve varlıklarının testlerini kapsamaktadır. Bu varlıklar testin türüne göre internet, yerel ağ veya kablosuz ağ olarak 3 alt başlığa bölünebilmektedir. Bu testler gerçekleştirilirken global güvenlik standartları ve PwC deneyimi ile birleştirilmiş bir yaklaşım - metodoloji izlenir.

İnternet Güvenlik Testleri

İnternet güvenlik testleri, İnternet üzerinden erişilebilir varlıkların güvenliklerinin incelenmesini kapsamaktadır. Bir saldırgan bakış açısı ile internet üzerinden erişilebilecek varlıklar üzerinde incelemeler yapılır ve kurum aleyhine oluşabilecek durumlar tespit edilmeye çalışılır.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir, bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmakta ve internet üzerindeki varlıkların güvenliklerinin artırılması hedeflenmektedir.

Yerel Ağ Güvenlik Testleri

Yerel ağ sızma testlerinde amaç kurum iç ağında bulunabilecek saldırı vektörlerinin tespiti ve ardından öneriler ile kurum güvenlik postürünü geliştirmektir. Genellikle kurum çalışanı profili ile yapılan testlerde kurum içerisinden kötü niyetli bir kişinin yapabilecekleri simüle edilmeye çalışılır. Testler sırasında kurumun isteğine göre çeşitli yetkiler ile test yapılabilmektedir. Bunların yanında istenirse cihazlardaki konfigürasyon kontrolleri gibi konularda destek sağlanabilmektedir.

Test sonucunda bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir, bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmakta ve kurumun yerel ağında bulunan varlıkların güvenliklerinin artırılması hedeflenmektedir.

 

Kablosuz Ağ Güvenlik Testleri

Kablosuz ağ güvenlik testlerinde kurumun kablosuz networküne gelebilecek saldırı vektörleri tespit edilir ve bu vektörler ile başarı elde edilip edilmediği test edilir. Bunun yanı sıra kurum kablosuz ağlarının parola politikaları gibi detaylar global güvenlik standartlarına uygun olarak incelenir.

Test sonucunda bulunan zafiyetler/açıklıklar/eksiklikler uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma detaylı öneriler sunulmaktadır.

EKS Güvenlik Testleri

Kurum EKS ağındaki bileşenlere yönelik pasif zafiyet taraması gerçekleştirilir. Keşfedilen zafiyetlerin doğrulanması ve bu zafiyetlerin sömürülebilmesi sonucu olası etkilerin değerlendirilmesi yapılır. Bu zafiyetler aynı zamanda sömürü testlerinde vektörlerin belirlenmesi için kullanılmaktadır.

Aktif tarama yapılması belli şartlara bağlanır ve ancak kuruluşun bu şartları sağlaması durumunda aktif zafiyet taraması gerçekleştirilir.

Kurum EKS ağı üzerinde yapılan zafiyet taramaları beklenmedik sonuçlar verebilir. Canlı sistemler üzerinde yapılacak zafiyet taraması sırasında uygulamalara paketler gönderilip canlı sistemde beklenmedik fonksiyonel bozukluklara sebebiyet verilebilir. Bu sebeplerden ötürü üretim veya otomasyon tarafında yapılacak testler risk teşkil etmektedir. Bu bakımdan, test yaptıracak kurumların bir testbed (deney düzeneği) ortamı hazırlaması ve bu ortamda EKS’de kullanılan bileşenlerin sahip olduğu versiyonlarla birlikte hazırlanması canlı ortamda mevcut olan zafiyetlerin belirlenmesi açısından faydalı olmaktadır. Hazırlanacak test ortamı, üretim ortamında bulunan EKS bileşenlerinin (SCADA Sunucusu, PLC, RTU, SCADA Historian Database, haberleşme protokolleri, vb.) işletim sistemi, yazılım, donanım versiyonlarının aynı olacağı şekilde tasarlanmalıdır.

Denetlenecek kurumun belirtilen koşullarda bir test ortamı bulunmuyorsa üretim ortamında zafiyet taraması pasif zafiyet taraması şeklinde gerçekleştirilir.

Belirtilen koşullarda test ortamı bulunuyorsa aktif bir şekilde zafiyet taraması gerçekleştirilebilmektedir.

Kullanılacak yöntemde ilk adım test edilecek farklı tipteki sistemlerin belirlenmesidir. Örneğin; bir EKS ağında, gerçek-zamanlı sunucular, farklı birkaç işletim sistemi üzerinde çalışan HMI, veritabanları, PLC cihazları gibi farklı sunucu ve iş istasyonları bulunabilir. Sunucu ve iş istasyonları haricinde yönlendiriciler, anahtarlar, haberleşme sunucuları ve güvenlik duvarları da bulunabilir. Belirtilen bu sistemlerin (yönlendiriciler, anahtarlar, haberleşme sunucuları ve güvenlik duvarları) tarama sırasında zarar görmesi çok olası değildir.

EKS üzerinde zafiyet taraması sırasında dikkat edilmesi gerekenler aşağıdaki gibi listelenmiştir (İlgili konular canlı sistem üzerinde yapılan taramalara ilişkin önerilerdir):

Taranan cihazın fonksiyonel yapısının bozulmayacağından ve bir cihazın kaybının operasyonları etkilemeyeceğinden emin olunmalı.

  • Sistem yöneticisinin testte yer alması sağlanmalı.
  • Pratik olarak hızlı bir şekilde yeniden kurtarma planı yapılmalı. Genellikle bu sadece yeniden başlatma işlemidir, ancak sistemin kurtarılması ya da yeniden kurulması için bir plan mevcut olmalıdır. Eğer varlık sahibinin böyle bir planı yoksa bu da bir zafiyet olarak değerlendirilmelidir.
  • Başka bir durum ise, kritik sistemin yedekliliğinin olmadığı durumlarda yapılacak olan tarama işleminin sınırlandırılmasıdır.

Testler sırasında EKS ağında mevcut bilinen işletim sistemlerine, uygulamalara ve gömülü sistemlere yönelik sömürü testleri yapılabilir. Bununla birlikte istenildiği takdirde EKS ağında zararlı yazılım analizi yapılabilir ve bulunan kablosuz ağ bileşenleri de test edilebilmektedir. Keşfedilen zafiyetler incelendikten sonra sistemde uzmanlarımız tarafından bir değişiklik yapılmışsa (kullanıcı ekleme, dosya yükleme vb.) bu değişiklikler testin son aşaması olarak yetkili gözetimi altında geri alınmaktadır.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Uygulama Güvenlik Testleri

Uygulama güvenlik testleri ağ güvenlik testleri tarafından farklılaşmakta ve daha özelleşmiş bir hal almaktadır. Genel olarak uygulama mimarileri, kullanılan diller özelinde oluşabilecek zafiyetler, fonksiyonalite ile birlikte ortaya çıkabilecek iş mantığı hataları gibi otomatize araçların tam olarak tespit edemeyeceği saldırı vektörleri dahil olmaktadır. PwC olarak uygulamalar özelinde sızma testlerini web, mobil, web service/API güvenlik testleri ve kaynak kod analizi  olarak 4 alt başlıkta ele almaktayız.

Web Uygulama Güvenlik Testleri

Web uygulama sızma testleri, kullanılan ve geliştirilen uygulamaların güvenilirliğinin test edilmesi ve bir saldırgan bakış açısı ile incelenmesi anlamına gelmektedir. Uygulamanın çalışma mantığı anlaşılıp kimi zaman dil bağımsız kimi zaman dil özelinde açıklıklar tespit edilmeye çalışılır. Bu çalışma yapılırken OWASP gibi global metodolojilerden ve PwC deneyiminden esinlenilir. Çalışma kapsamı ve yetki türleri firma isteğine göre belirlenir; örneğin web uygulama kimi çalışmalarda uzmanlar tarafından haritalandırılırken kimi zaman detaylı bilgilendirmeler ile devam edilebilmektedir. PwC Siber Güvenlik ekibi müşteri isteğine göre çalışmayı şekillendirmektedir.

Test sonunda bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Web Servis/API (Application Programming Interface) Güvenlik Testleri

Web Servis / API güvenlik testi , web uygulama güvenlik testleri gibi çeşitli yetkilendirmeler ve bilgi seviyeleri ile kurumun isteği doğrultusunda ilerlemektedir. Temel amaç firmanın geliştirdiği servislerin/API’nin kimi konfigürasyon eksikliklerinde destek olmak, bilinen veya uzmanlarca keşfedilebilecek zafiyetler ile ilgili problemlerin bir saldırgan gözü ile incelenip tespit edilmesidir.

Test sonrasında bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Mobil Uygulama Güvenlik Testleri

Mobil uygulama testlerinin amacı, kurum tarafından kullanılan mobil uygulamalar üzerinden kuruma ve mobil uygulamayı kullanan kullanıcılara yönelik tehditleri tespit etmektir. Bu kapsamda, kapsam dahilindeki mobil uygulamalara verilen test kullanıcılarıyla birlikte veya oturumsuz bir şekilde OWASP TOP 10, BDDK, PCI DSS gibi metodolojiler ve regülasyonların istekleri  baz alınarak güvenlik testi gerçekleştirilmektedir.

 Test sonrasında bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma ve uygulamaya özel öneriler sunulmaktadır.

Kaynak Kod Analizi

Kaynak kod analizinde izlenen test yönteminde, bir statik kaynak kod analiz aracı ile birlikte, kodun ağaç yapısı içerisinde ki akışının belirlenmesi, üzerinde bulunabilecek zafiyetlerin ayrıştırılması, kodun kalitesinin değerlendirilmesi ve kaynak yönetimini içeren bulgu maddelerinin otomatik olarak belirlenmesi amaçlanmaktadır. Bu süreç zarfında çıkan bulgular elle yapılan kontrollerle doğrulukları ispatlanarak testler tamamlanmaktadır.

Statik tarama aşamasında kaynak kod üzerinde bulunan konfigürasyon hataları ve bilinen güvenlik zafiyetleri tespit edilir. Dizin içeriği listeleme, dizin atlatma, kaynak kod kalite değerlendirmesi, web sunucu hata denetim mekanizmasının kontrol edilmesi gibi işlemler yapılmaktadır.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Sistem Özelinde Güvenlik Testleri

Siber güvenlik konusunu sızma testleri, kırmızı takım operasyonları gibi çalışmalarla desteklesek de sistemlerin özelinde de derinlemesine çalışmalar güvenliği artırmakta fayda sağlayacaktır.

Genel sızma testlerinin yanında özellikle güvenlik testine tabii tutulması gereken bir alt sistem varsa bu güvenlik testlerini “Sistem Özelinde Güvenlik Testleri Olarak” tanımlamaktayız.

Veritabanı Sistemleri Güvenlik Testleri

Veritabanı sistemleri sızma testlerinde güvenlik açısından kritik olan konfigürasyon ayarları, veritabanı sunucusunda denetleme mekanizmasının varlığı, yedekleme ve kurtarma mekanizmasının varlığı incelenmektedir. Bu incelemelerin ardından sistemde fonksiyonelliği bozmayacak olan güncel sistem ve güvenlik yamalarının uygulanıp uygulanmadığı, veritabanı için önemli olan işletim sistemi dosyalarının erişim izinleri, sunucuya uzaktan erişiminin güvenlik düzeyi gibi çeşitli durumlar incelenmektedir.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

ATM/KIOSK Sistemleri Güvenlik Testleri

ATM/KIOSK sistemleri güvenlik testlerinde sistemlerin genel mimari içindeki konumu, uç noktalar ile merkez arası haberleşme yapısı incelenmektedir. Bu incelemelerin ardından kurum ağı içinden taramalar yapılarak ATM/KIOSK sistemlerinin bulunduğu ağlara erişilip erişilmediği, cihazlara fiziksel olarak müdahale edilip edilemeyeceği, işletim sistemi ve çalışan servislere yönelik bir zafiyet bulunup bulunmadığı araştırılır. Kritik bir zafiyet bulunursa, onay alındıktan sonra zafiyet sömürülerek cihazlara sızılmaya çalışılması gibi çeşitli yöntemlerle cihazlarin güvenlik postürleri incelenmektedir.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Nesnelerin İnterneti (IoT) ve Gömülü Sistemler Güvenlik Testleri

Zafiyet tarama ve sızma testi gibi faaliyetler kurum/kuruluş bünyesinde, ön tanımlı kapsam dahilindeki zafiyetleri ve açıklıkları tespit etmek için yapılmaktadır. Bu faaliyetler genellikle kurum/kuruluşun maruz kalabileceği iç ve dış tehditler çok fazla analiz edilmeden yapıldığından dolayı yapılan çalışmalar sınırlı bir alanı kapsar ve sadece bu kapsam içerisindeki zafiyetler belirlenebilir. Ancak gerçek saldırganların motivasyonu sızma testi yapan uzmanlardan farklılık göstermektedir. Bu nedenle sızma testleri sonucu ortaya çıkan zafiyetler kapatılsa dahi saldırganlar başarılı olabilmektedir.

Bu nedenle kurum/kuruluşun kullandığı donanımların maruz kalabileceği iç ve dış tehditler tespit edilmeli ve bu tehditlere yönelik gerçekçi ve kontrollü testler düzenlenmelidir. Bu sayede gerçek saldırganların kullandıkları araç, teknik ve taktikler kullanılan donanımlara yönelik simüle edilmiş olacaktır. Bu sayede gerçek bir saldırıyı beklemek yerine gerçekçi bir saldırıyı tatbik ederek insan/süreç/teknoloji ve fiziksel güvenlik bazındaki zafiyetler tespit edilebilecektir.

Nesnelerin İnterneti (IoT) Güvenlik Testleri Hizmeti hedef odaklıdır ve kurum/kuruluşun sahip olduğu cihazlara yönelik tehditlerin modellenmesine ve olan- olabilecek saldırıları ortaya koyup çözümler üretmeyi hedeflemektedir.

Nesnelerin İnterneti güvenlik testleri hizmeti; geliştirici ekibin güvenlik yeterliliklerinin tespit edilmesi, donanımın güvenlik yeterliliklerinin ölçülmesi, kurum/kuruluştaki insan/süreç/teknoloji kaynaklı zafiyetlerin tespit edilmesi konularının hepsini veya bir kısmını amaçlayabilmektedir.

Nesnelerin interneti ve gömülü sistem bileşenlerinin güvenlik testleri test edilirken izlenen adımlar hedefin belirlenmesi, hedef ile ilişkili bileşenlerin tespiti, araçların ve yöntemlerin hazırlanması ve testin gerçekleştirilmesi şeklindedir.

Hedef belirlenmesi aşamasında test yapılacak IoT sistemi bileşenleri kurum ile gerçekleştirilen görüşmeler sonucunda belirlenir.

Hedef ile ilişkili bileşenlerin tespiti aşamasında test edilecek IoT cihazlara ait saldırı yüzeyi detaylı bir şekilde çıkarılmaktadır.

Araçların ve yöntemlerin hazırlanması aşamasında her obje için kullanılacak olan donanım, yazılım ve yöntemler netleştirilir ve bir yol haritası çizilmiş olur.

Testin gerçekleştirilmesi adımında iste bir önceki aşamada belirlenen bileşenlere yönelik testler gerçekleştirilir.

Keşfedilen zafiyetler incelendikten sonra sistemde uzmanlarımız tarafından bir değişiklik yapılmışsa (kullanıcı ekleme, dosya yükleme vb.) bu değişiklikler testin son aşaması olarak yetkili gözetimi altında geri alınmaktadır.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

VOICE OVER IP (VOIP) Güvenlik Testleri

Zafiyet tarama ve sızma testi gibi faaliyetler kurum/kuruluş bünyesinde, ön tanımlı kapsam dahilindeki zafiyetleri ve açıklıkları tespit etmek için yapılmaktadır. Bu faaliyetler genellikle kurum/kuruluşun maruz kalabileceği iç ve dış tehditler çok fazla analiz edilmeden yapıldığından dolayı yapılan çalışmalar sınırlı bir alanı kapsar ve sadece bu kapsam içerisindeki zafiyetler belirlenebilir. Ancak gerçek saldırganların motivasyonu sızma testi yapan uzmanlardan farklılık göstermektedir. Bu nedenle sızma testleri sonucu ortaya çıkan zafiyetler kapatılsa dahi saldırganlar başarılı olabilmektedir.

Bu nedenle kurum/kuruluşun kullandığı donanımların maruz kalabileceği iç ve dış tehditler tespit edilmeli ve bu tehditlere yönelik gerçekçi ve kontrollü testler düzenlenmelidir. Bu sayede gerçek saldırganların kullandıkları araç, teknik ve taktikler kullanılan donanımlara yönelik simüle edilmiş olacaktır. Bu sayede gerçek bir saldırıyı beklemek yerine gerçekçi bir saldırıyı tatbik ederek insan/süreç/teknoloji ve fiziksel güvenlik bazındaki zafiyetler tespit edilebilecektir.

PwC İnternet Güvenliği VOIP Güvenlik Testi’nde, firmanın kullandığı VOIP sisteminin detaylı analizi yapılarak VOIP sistemi üzerinden işlenebilecek sahtekarlıkların ve zafiyetlerin test edilmesi amaçlanmaktadır. VOIP altyapınızdaki tüm zafiyetler tespit edilerek raporlanır ve açıklıkların kapatılması için öneriler sunulur.

VOIP bileşenleri testleri hedefin belirlenmesi, hedef ile ilişkili bileşenlerin tespiti, araç ve yöntemlerin hazırlanması, son olarak da testin gerçekleştirilmesi aşamalarından oluşmaktadır.

Keşfedilen zafiyetler incelendikten sonra sistemde uzmanlarımız tarafından bir değişiklik yapılmışsa (kullanıcı ekleme, dosya yükleme vb.) bu değişiklikler testin son aşaması olarak yetkili gözetimi altında geri alınmaktadır.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Yük / DDoS Testleri

Dağıtık Hizmet Dışı Bırakma Testleri

DDoS saldırısı, sistemlerin bant genişliği, işlemci ve bellek gibi kaynaklarının tüketerek, kullanıcılar tarafından erişilemez duruma getirmek amacıyla yapılan saldırılardır. DDoS saldırıları, son yıllarda en çok kullanılan siber savaş aracı olarak tanımlanmakta ve kesin olarak çözümü bulunamayan tehditlerin başında gelmektedir. DDoS, alternatif diğer saldırı türlerine göre daha kolay gerçekleştirilebildiği için siber saldırganlar tarafından kurum ve kuruluşların, hatta ülkelerin internet altyapılarını ve sunulan hizmetleri işlevsiz hale getirmek için sıklıkla tercih ettiği yöntemlerin başında yer almaktadır. HTTP DDoS, TCP DDoS, ICMP DDoS, UDP DDoS gibi temel kategorilere ayrılmaktadır.

DDoS testleri kapsamındaki hizmetlerimizi her defasında aynı yüksek kalite standardında gerçekleştirebilmek amacıyla oluşturduğumuz yöntemleri takip ediyoruz.

Test sonuçlarını istatistiksel olarak ifade etmek ve hatalı sonuçları en aza indirmek amacıyla, DDoS testleri sırasında farklı lokasyonlarda bulunan izleme (monitoring) araçlarıyla hedef sunucu ve uygulamaların cevap verme süreleri, hizmet dışı kalma süreleri gibi ölçümler yapılmaktadır. Aynı zamanda, testler için kullanılan makinelerde de hedefe gönderilen paket sayısı, tüketilen bant genişliği miktarı gibi ölçümler yapılarak atak yoğunluğu tespit edilmektedir.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Web Uygulama Yük Testleri

Yük testi, sistemdeki darboğazları(bottle-neck) bulmak amacıyla gerçek kullanıcıları simüle edebilecek bir araç ile taklit ederek bir uygulamayı test etme sürecidir. Yük testinde, donanım ve yazılım açısından ölçeklenebilirlik, kullanılabilirlik ve performans niteliklerini test edilir. Bu süreç içerisinde yükün geçtiği tüm bileşenlerin ve kaynakların (CPU kullanımı, bellek kullanımı, önbellek tutarlılığı, güç tüketimi ve ağın bantgenişliği gibi) monitör edilmesi ve izlenmesi gerekmektedir. Bu monitör işlemlerinin bir kısmı PwC Güvenlik Test Hizmetleri ekibi tarafından gerçekleştirilebilse bile, kapsamlı bir sonuca varabilmek adına yük testi gerçekleştiren kurumun da sistemler üzerinde incelemeler yapması önemlidir.

Yük testi gerçekleştirilirken, hedef uygulama üzerinde bulunan fonksiyonlar, bir kullanıcı gibi kullanılır ve bu süreç kayıt altına alınır. Sonrasında, elde edilen botlar üzerinde farklı HTTP oturumları açılarak bu kullanıcıların gerçekleştirdiği HTTP istekleri taklit edilir ve seçilen senaryolar web uygulaması üzerinde uygulanır. Bu aşama esnasında test edilen uygulamanın yalnızca HTTP cevap süresi PwC Güvenlik Test Hizmetleri ekibi tarafından monitör edilebildiği için, diğer kaynakların da sistem üzerinde incelenmesi, darboğazın gerçekleştiği noktayı bulmak adına testin önemli bir parçası olarak değerlendirilir.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır.

Sosyal Mühendislik Testleri

Sosyal Mühendislik, insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışma veya istenilen şeyleri yaptırma işlemlerinin bütünüdür.

PwC Cyber kurumun ihtiyaçlarına ve isteklerine göre çeşitli senaryolar ile kurum çalışanlarının bu tür saldırılara karşı farkındalığını test etmektedir. Yapılan çalışma kurumun istediği zamanlarda veya rastgele bir zamanda yapılabilmekte, çalışma türüne göre (siyah kutu - beyaz kutu) kapsam değişebilmektedir. 

Sosyal mühendislik testleri esnasında çalışanların kişisel bilgilerine ulaşılması durumunda bu bilgiler kuruluş ile paylaşılmaz, sızma testi raporuna eklenmez ve bir kopyası alınmaz.

Test bitiminde bulunan zafiyetler/açıklıklar uzmanlarımız tarafından detaylandırılıp rapor haline dönüştürülmektedir ve bulgu özelinde yorumlamalar yapılıp kuruma öneriler sunulmaktadır, sosyal mühendislik özelinde gerekirse farkındalık eğitimleri düzenlenebilmektedir.

İletişim

Yasemin Başer

Yasemin Başer

Siber Güvenlik ve Veri Koruma Hizmetleri Lideri, PwC Türkiye

Telefon: +90 212 326 6042

Özkan Kıvanç

Özkan Kıvanç

Risk, Süreç ve Teknoloji Hizmetleri Şirket Ortağı, PwC Türkiye

Telefon: +90 212 326 6648