Penetrasyon Testlerine İlişkin Bir Değerlendirme
 |
Federal Computer Week (FCW) ‘deki bu makaleyi görünce ne zamandır yazmak istediğim penetrasyon testi değerlendirmesini yazayım istedim. Bu makale yazmak istediklerim için harika bir zemin hazırlıyor. Uzun zamandır penetrasyon testleri yapıyorum, Pro-G olarak da yapıyoruz. Türkiye’nin en büyük bilgi işlem yapılarının pek çoğu için bu türden testler yaptık. Hemen hemen her sektörden sektörün lideri kuruluşlar ile çalıştık. Ne yazık ki pek çoğu ile penetrasyon testlerinin ideal bir değerlendirici olmadığı konusunda mutabık kalamıyoruz.Biraz sektörün doldurması, biraz da kulaktan dolma bilgilerle kuruluşlar BT güvenlik denetimleri için bu test tekniğini neredeyse tek ve alternatifsiz bir teknik olarak kullanıyorlar. Fakat altyapı büyüdükçe, altyapı üzerinde işletilen uygulamaların karmaşıklıkları arttıkça geleneksel penetrasyon testi, teknik açıdan ciddi biçimde yetersiz kalıyor.
Temel problem, bu test tekniğinin kapalı kutu (ing. black box) türde bir test olması. Hedef sistemler, sistemler ve sistemler üzerinde çalışan bileşenler arası ilişkileri bilmeden saldırmaya çalışıyorsunuz. Çok sayıda hipotez geliştirip bunları doğrulamaya çalışıyorsunuz. Sonucunda sızmayı başarsanız da, çok sayıda zafiyet bulsanız da aslında kaç problemi de tespit edemediğinizi kesinlikle bilemiyorsunuz. Bu durum Dijstra’nın meşhur Programları test ederek hataları olduğunu ispatlayabilirsiniz ama hiç bir problemin var olmadığını ispatlayamazsınız sözünü anımsatıyor. Garantili sonuç vereceğini söylemek güç ama biz (Pro-G ailesi olarak) sistem konfigürasyon incelemesinin daha etkin bir teknik olduğunu düşünüyoruz. Bilgi işlem altyapısına ilişkin tüm şemaları, bileşenler arasındaki ilişkileri masaya yatırıp inceliyoruz; ilişkiler düzeyinde sorguluyoruz. Ardından bileşenlerin tümünün konfigürasyonunu, kurgusunu tek tek gözden geçiriyoruz. Uygulama yazılımları söz konusu olduğunda önce yazılımın mimarisini gözden geçiriyor, ardından da kritik bileşenleri için bileşen bazında penetrasyon testleri ya da kaynak kod incelemeleri gerçekleştiriyoruz. Aslına bakarsanız penetrasyon testi ile kıyaslandığında daha da kısa sürüyor ve daha derinlemesine bir analize de imkan sağlıyor. Bu teknik ile sadece güvenlik zafiyeti oluşturan noktaları değil, dışarıdan (ağ üzerinden) gözlenemeyecek olası diğer iyileştirme alanlarını da tespit etmek ve bu noktalara ilişkin önerilerde bulunmak da mümkün oluyor. Sözün özü, penetrasyon testleri teknik güvenlik denetimleri gerçekleştirmenin tek yolu değil. Çoğu zaman en etkin yolu da değil. Arada klişelerden kafayı kaldırıp sağa sola bakmak lazım… |