GÜV.08 — Güvenlik Test ve Taramaları

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Güvenlik taramaları; bir BT altyapısı, sistemi, uygulaması ve/veya bunların bir bileşeninin, ilgili sorumlular veya yetkilendirilmiş üçüncü kişiler tarafından herhangi bir zafiyet, eksiklik, uyum ve açıklık açısından değerlendirilmesi olarak tanımlanabilir.

BT altyapı ve sistemleri her ne kadar güvenli olarak tasarlansa, buna uygun politika, kural ve standartlar çerçevesinde yönetilse de; gerek insan hataları, gerek yaşayan sistemlerin gereği olan değişiklikler, gerekse gizli olarak içlerinde barındırdıkları zafiyetlerin ortaya çıkması ile güvenlik seviyelerinde düşüş yaşanabilir. Güvenlik test ve taramaları, BT operasyonel süreçlerinin ve ilgili kontrollerin doğru ve güvenli işlerliğinin de bir bakıma çapraz kontrolünü sağlamaktadır.

Güvenlik test ve taramalarının amacı, BT altyapı ve sistemleri için daha yüksek derecede bütünlük, gizlilik ve tutarlılık ilkeleri sağlamaktır. Çalışmalar; amaç, test yaklaşımı (zafiyet analizi, penetrasyon testi), yön (dışarıdan dış sistemlere, içeriden yerel ağ ve iç sistemlere), kapsam (web sitesi, B2B uygulamalar, veritabanları, ERP uygulaması, iletişim altyapısı vs.) ve kimin tarafından gerçekleştirildiği (iç kaynak/dış kaynak) gibi faktörlere bağlı olarak çok çeşitli yöntem ve içerikte gerçekleştirilebilir.

Sızma testi, bir bilgisayar sistemi veya ağının güvenliğini değerlendirme yöntemidir. Sızma testinde; sistemin zayıf veya hatalı konfigürasyonu sonucu açığa çıkabilecek potansiyel zafiyetlerin, bilinen ve bilinmeyen donanım ve yazılım hatalarının, operasyonel süreçlerdeki zayıflıkların ve teknik önlemlerin aktif olarak analizi yapılır. Bu analiz potansiyel bir saldırganın konumundan yapılır ve güvenlik açıklarının istismar edilmesini (exploitation) gerektirebilir.

IP adres yanıltması, brute-force şifre atağı, DNS yanıltması, sosyal mühendislik, zayıf iletişim protokolleri, yerel ağ trafiğinin dinlenmesi, SQL injection, cross-site scripting vs. gibi yöntemler sızma testleri sırasında uzmanlar tarafından kullanılabilmektedir. Örneğin brute-force atak ile sistemlerdeki zayıf şifreler tespit edilebilir ve bu sistemlerin koruma altına alınması için gerekli önlemler alınır. Çalışmalar; güncel OWASP Top 10, OWASP Web Security Testing Guide (WSTG) ve PTES (Penetration Testing Execution Standard) gibi kabul görmüş metodolojiler referans alınarak yürütülür.

Şirket e-ticaret faaliyeti yürütüyorsa, düzenli olarak ya da uygulama değişikliği yapıldığında WAPT (Web Application Penetration Testing) yaptırması önerilir. Benzer biçimde, internete açık uygulamalar başta olmak üzere uygulamanın her yeni sürümünde kaynak kodlarında zafiyet taramaları yapılması önerilir.

Şirkette uygulanmakta olan test ve denetim faaliyetleri temel olarak üç grupta toplanabilir:

  1. Genel gözden geçirmeler: İç denetim birimleri tarafından gerçekleştirilen BT denetlemeleri bu sınıfta değerlendirilebilir. COBIT çatısı temel alınarak gerçekleştirilen bu denetimler, BT'nin tüm süreçlerini ele alan geniş kapsamlı denetimlerdir. Stratejik planlama, proje yönetimi, risk yönetimi, tedarik süreçleri, uygulama geliştirme süreçleri, sözleşme ve hizmet yönetimi, performans ve kapasite yönetimi, güvenlik altyapısı, fiziksel güvenlik ve tesis yönetimi gibi konuları kapsar. Fiziksel kontroller, giriş/erişim kontrolleri ve yetkilendirmeler, personel rol ve sorumlulukları, standartlar ve prosedürler bu şekilde denetlenir.
  2. Sistemsel gözden geçirmeler: Sistemlerin çalışma ve faaliyetlerinin sürekli gözlem altında tutulması, sistem dosyalarının ve sistem tarafından üretilen izlerin (log) incelenmesi, bu noktada tespit edilen olası şüpheli hareket, işlem ve iletişim trafiğine yönelik aksiyonlar alınması bu grupta değerlendirilebilir. Bu faaliyetlerde ağ yönetimi, atak tespit/önleme ve güvenlik tarama araç ve sistemleri kullanılabilmektedir. Bu faaliyetleri, sistem yönetici ve sorumluları tarafından yürütülen operasyonel faaliyetlerin bir parçası olarak da değerlendirmek mümkündür.
  3. Dış kaynaklı güvenlik hizmetleri: Özel uzmanlık gerektiren konularda, bu bilgi birikimine iç kaynaklarla sahip olunmadığı ya da farklı bir bakış açısı ile tarafsız olarak değerlendirilmek ve kurumsal körlükten kaynaklı olası zayıflıkları ortaya çıkarabilmek amacı ile şirket güvenlik konusunda dış kaynak değerlendirmelerine ihtiyaç duyabilmektedir.

Standartlar

Güvenlik test ve tarama çalışmaları temel olarak Planlama, Yürütme, Raporlama ve Gözden Geçirme olmak üzere dört ana safhada ele alınır. Her safha ile ilgili önemli noktalar aşağıda verilmektedir.

Planlama

  1. Hizmet alacak olan şirket, çalışmadan beklenti ve hedeflerini belirleyerek kapsamı oluşturur.
  2. Kapsama göre sınırlar çok iyi belirlenir; çalışmaya dahil olan altyapı ve sistemlerin detaylı bir şekilde envanteri çıkarılır.
  3. Gerek hizmet alan gerekse hizmet veren firma yetkili ve uzmanları, çalışma süresince belirlenmiş kapsamın dışına çıkmaz.
  4. Hizmet alınacak şirket kurumsal ve güvenilir bir şirket olmalı; çalışma kapsamında elde edeceği bilgileri (ticari, kurumsal, teknik) kötü amaçlı kullanabilecek bir şirket olmamalıdır.
  5. Hizmet alınacak şirketin iyi referansları olması gerekir.
  6. Çalışma öncesinde ilgili uzmanların özgeçmişleri paylaşılır. Çalışmaya katılacak personelin konusunda yetkin ve bilgili olması, teknik sertifikalara sahip olması gerekir (örn. OSCP, CISSP, CEH, CISA, ISO/IEC 27001 LA gibi).
  7. Çalışma öncesinde gizlilik anlaşması (NDA) imzalanması gerekir. Bu sayede hizmet veren danışman şirketin bilgi birikimi ve hizmet alan şirketin kurumsal ve teknik altyapısı ile ilgili bilgilerin, tarafların onayı ve bilgisi dışında üçüncü şahıslarla paylaşılması engellenecektir.
  8. Gizlilik anlaşmasında çalışmaya katılan danışmanların da imzalarının olması gerekir.
  9. Güvenlik testlerinin sağlıklı olarak yürütülebilmesi için hizmet alan şirketin çalışmaya; danışman şirket uzmanları ile birlikte çalışacak, karar alma ve gerektiğinde şirket içi destek alma yetkisine sahip sorumlular ataması gerekir.

Yürütme

  1. Hizmet alan şirketin uzman ve yetkilileri, çalışmaların içerisinde yer alarak faaliyetleri takip ve kontrol eder.
  2. Çalışma kapsamına göre yapılacak her türlü test için olası kötü sonuçlara karşı tedbir alınır. Riskleri azaltıcı yönde planlama (örneğin iş saatleri dışı) yapılması gerekir. Özellikle plansız/habersiz testler söz konusu olduğunda olası risklerin göz önüne alınması büyük önem taşımaktadır.
  3. Hizmet veren danışman şirket, kendisi ile paylaşılmış her türlü bilgiyi güvenli bir ortamda işler ve saklar.
  4. Güvenlik denetim çalışmalarının amacı, hizmet veren şirketin ilgili zafiyet ve eksiklikleri çözüm önerileri ile birlikte raporlamasıdır. Çalışma sırasında sistemler üzerinde değişiklik, yenileme veya ekleme yapılamaz.
  5. Kritik ve ivedilikle giderilmesi gereken riskli noktalar dışında tüm iyileştirme faaliyetleri, çalışma sonrasında şirket yetkilileri tarafından planlanır ve gerçekleştirilir.
  6. Hizmet alan şirket, sözleşme süresi zarfında, güvenlik tarama ve testlerine konu olan sistem ve uygulamalarda yapılan veya yapılması planlanan her türlü değişiklikten hizmet veren firmayı haberdar eder. Bilgilendirme yapılmadan gerçekleştirilen değişiklikler test çalışmalarını olumsuz etkileyebileceği gibi güvenlik açıkları da doğurabilecektir.
  7. Çalışma sırasında gerçekleştirilen her türlü test, faaliyet ve sonuçları kayıt altına alınır. Bu, ilgili bulguların kanıtlanması açısından büyük önem taşımaktadır.
  8. Çalışmayı yürütecek ekiplerin görev ve sorumluluklarının iyi bir şekilde düzenlenmesi ve faaliyet kayıtlarının tutulması; çalışma sırasında çeşitli nedenlerle oluşabilecek olumsuzlukların sebebinin ve sorumlularının tespiti açısından büyük önem taşımaktadır.

Raporlama

  1. Hizmet veren danışman şirket; çalışma kapsamında gerçekleştirilen tüm faaliyet ve sonuçlarını, tespit ettiği bulguları, bunların risk seviyelerini, kanıtları ve çözüm önerilerini raporlar.
  2. Sunulan rapor, olası risklerin teknik olmayan kişilerin anlayabileceği şekilde özetlendiği bir yönetici özeti bölümü içerir. Hazırlanan raporun iletimi sırasında üçüncü şahısların eline geçmesini engellemek adına, rapor güvenli iletim kanalları aracılığıyla ve/veya şifrelenmiş şekilde iletilir.
  3. Şirket yetkilileri, çalışma bulgularını gidermeye yönelik iyileştirici faaliyetleri, bulguların risk seviyelerini de göz önüne alarak ivedilikle planlar.

Gözden Geçirme

  1. Gözden geçirme ilk sözleşmenin bir parçası olmalıdır ve her güvenlik taramasından sonra mutlaka yaptırılmalıdır.
  2. Şirket, bulguların giderilmesini müteakip hizmet veren danışman şirket ile iletişime geçerek gözden geçirme planlar.
  3. Gözden geçirme sonuçları da hizmet veren şirket tarafından raporlanır.
  4. Hizmet alan şirket, halen açık var ise kalan bulguları ivedilikle kapatır.

İyi Uygulama Örnekleri

  1. Planlama ve sonrası için aşağıdaki adımlar atılabilir:
    • Bulgular değerlendirilerek belirli konu başlıklarında düzenlenir.
    • Kolayca yapılabilecek iyileştirmeler zaman geçirmeden gerçekleştirilir.
    • Daha uzun çaba gerektiren iyileştirmeler projelendirilir.
    • Yeni bir teknoloji ya da altyapıya ihtiyaç duyan iyileştirmeler (örneğin DLP çözümleri) için fizibilite ve analiz çalışmaları ile beraber bütçeleme ve tedarik süreçleri başlatılır.
  2. Şirket bu hizmeti üçüncü kişilerden alabilmektedir. Hizmet veren üçüncü kişiler ve alınan hizmetler konusunda Bilgi Teknolojileri biriminden bilgi alınabilir.
  3. Bankacılık düzenlemelerine tabi kuruluşlar için BDDK mevzuatı geçerlidir (Resmî Gazete 14.09.2007/26643 tarih ve sayılı BDDK Tebliği, Madde 26/1): güvenlik kontrollerinin yeterliliğini test etmek üzere bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testleri yaptırılır.
  4. Kredi kartı işlemi yapan kuruluşlar PCI DSS'e tabi olduklarından yılda dört kez ağ taraması yaptırmak durumundadır.

Referanslar

Ekler

← Tüm IT Standartları