Bilgisayarların, internetin, akıllı telefonların ve tabletlerin hayatımıza girmesiyle bilgi, şirketlerin en önemli sermayesi oldu. Bilginin gücü yönetim, kurumsal yapılanma ve operasyonel faaliyetler alanında uygulamaları değiştirerek finans, ulaşım, eğitim, enerji, haberleşme gibi birçok sektörün bilgi sistemlerine olan bağımlılığını artırdı.

Bilgi işlem altyapılarının kullanımının artması, şirketlerin faaliyetlerini kolaylaştırdı, bilgiye erişim ve bilginin saklanmasına ilişkin araçlarını değiştirmeye başladı. Ancak bilgi işlem sistemlerini, interneti ve kullanıcıları içeren “siber dünyanın” fırsatları kadar tehditlerinin de algılanması önem arz ediyor.

Siber dünyada bilginin güvenli olmayan alanlarda saklanabilmesi, yetkisiz kişilerce işlenebilmesi ve kontrolsüz olarak dağıtılabilmesi, şirketler açısından büyük risk oluşturuyor.

Günümüzde bilgilerin açığa çıkması ve yetkisiz kişiler tarafından erişilebilmesi noktasında siber suçlar ön plana çıkıyor. Bilgisayar suçları veya internet suçları olarak da adlandırılan siber suçlar, bir bilişim sistemi aracılığıyla hukuka aykırı ve izinsiz olarak kurumların veya kişilerin bilişim sistemlerine erişilmesini ifade ediyor. Söz konusu suçları işleyen kişiler ise siber suçlu olarak isimlendiriliyor.

Siber Suçluların Hedefi

Siber suçlular kişi veya kurumları, bilgi sistemlerini ve verilerini (Kurumların maliyet, özlük gibi kritik bilgileri, kişilerin internet alışverişlerinde kullandığı kredi kartı bilgileri, kullanıcı şifre bilgileri gibi) hedef alır.

Peki siber suçlular neleri amaçlar?

Kurumlara veya kişilere ait verileri sızdırma, kurumların veya kişilerin itibarını zedeleme, bilgi sistemlerinde saklanan verileri değiştirme veya silme amaçlar arasında yer alır. Bunlar dışında bilgi sistemlerinde yer alan verilere zarar verme, bilgi sistemlerinin kullanımını engelleme, kurumların operasyonel faaliyetlerini veya üretimini durdurma gibi hedefleri de bulunabilir. Ayrıca kişilerin özel yaşamının gizliliğini ihlal etme, iletişimi izinsiz dinleme ve kayıt altına alma gibi planları da olabilir.

Siber suçlar, genelde bilginin yetkisiz kişilerce erişilmesi olarak algılanıyor. Günümüzde yaygın olarak bilinen kredi kartı hırsızlığı, dolandırıcılık suçlarının yanı sıra bilişim araçları aracılığıyla işlenen terör, hakaret, şantaj, tehdit, narkotik suçlar da siber suçlar kapsamında değerlendiriliyor. Bu kapsamda ülkelerin finansal veya sağlık verileri gibi kritik verilerinin bilişim sistemleri üzerinde saklandığı değerlendirildiğinde, siber suçların günümüzde ülkelerde ciddi ekonomik ve sosyal sonuçlar doğuracağı aşikâr.

Siber suçların temelinde siber saldırılar yatıyor. Söz konusu siber saldırıların önlenebilmesi ve bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması amacıyla son yıllarda “siber güvenlik” kavramı önem kazanmaya başladı.

Siber güvenlik, siber dünyada şirketlerin, kişilerin ve hatta ülkelerin siber tehditler ve siber saldırılarla mücadele etmelerine yönelik araçların bütününü kapsıyor. Bu doğrultuda siber güvenlik kavramının temel unsurlarını şöyle sıralayabiliriz:

• Bilgi güvenliğine ilişkin politika, prosedürler ve kılavuzlar
• Risk yönetim stratejileri ve kontrol ortamı
• Bilgi güvenliğinin sağlanmasına yönelik faaliyetler (denetim izlerinin tutulması, kullanıcı yetkilerinin periyodik olarak gözden geçirilmesi gibi)
• Bilgi güvenliği eğitimleri
• Bilgi güvenliğinin sağlanmasına yönelik teknolojiler
• Sızma testleri

Sızma testi nedir?

Kullanılan çeşitli seviyelerdeki bilgi güvenliği sistemlerinin, kurumlar için yeterli seviyelerde güvenlik sağlayıp sağlamadığı kurumu endişelendirmesi gereken bir konudur. Bu konuda en kaliteli sonuç alınan yöntem sızma testidir. Sızma testi, bilgi sistemlerinin güvenilirliğini ve tutarlılığını, dışarıdan veya içeriden yapılan saldırılarla değerlendirme yöntemidir. Testlerin amacı, yetkisiz erişim elde edilmesine veya hassas verilere ulaşılmasına neden olabilecek güvenlik açıklarının saldırganlar tarafından istismar edilmeden önce tespit edilmesini sağlamaktır.

Sızma testleri, bilgisayar işletim sistemlerinde, yaygın olarak kullanılan uygulama programlarında ve ağ güvenliği konularında uzman kişiler tarafından gerçekleştiriliyor. “Beyaz şapkalı hacker/Etik bilgisayar korsanı” olarak da adlandırılan bu uzmanlar, saldırganların kullanacağı yöntemlere benzer yöntem ve araçlar kullanarak, bilgi sistemlerinin güvenlik mekanizmalarına kurum dışından veya içinden yapılacak saldırılarla denetler ve çeşitli atlatma denemeleri yapar. Bu denemeler sırasında çeşitli otomatikleştirilmiş araçların yanı sıra hedef sistem özelliklerine göre değişiklik gösteren manuel kontrollerden de yararlanılır.

Kaç çeşit test var?

Gerçekleştirilme yöntemlerine göre bu testleri ikiye ayırabiliriz. Bunlardan ilki, Black-Box sızma testleridir. Black-Box sızma testlerinde, testleri gerçekleştiren kuruma verilen bilgiler, alan adları, URL’ler gibi internet üzerinden genel erişilebilir bilgilerle sınırlıdır.

Diğer sızma testi yöntemi ise Gray-Box’tır. Bu yöntemde testi gerçekleştiren kuruma, testlerin gerçekleştirileceği ortamlara uygun koşullar sağlanır ve bu ortamlar hakkında bilgiler sunulur. Örneğin, testleri gerçekleştirecek uzmanlara, kurum içinde yaygın olarak kullanılan türde donanım ve uygulamalara erişiminde bir kurum çalışanıyla aynı yetkilere sahip bir kullanıcı hesabı verilmesi ile testler sırasında gerçekçi bir ortamın oluşması sağlanıyor.

Hedef alınabilecek bileşenleri ise şöyle sıralayabiliriz;

• Web uygulamaları
• Mobil uygulamalar
• Ağ iletişimi cihazları
• Sunucu ve istemci işletim sistemleri ve diğer hizmetlere yönelik saldırılar (DNS, Veritabanı gibi)
• Hizmet dışı bırakmaya yönelik saldırılar (DoS)
• Sosyal mühendislik

Sızma testleri ne sağlar?

1. Belirli bir saldırı türünün uygulanabilirliğini saptamak
2. Belirli bir sıralamayla oluşabilecek, nispeten daha küçük risklerin birleşerek oluşturabileceği sonucun belirlenmesi
3. Sistem veya ağ üzerinde otomatik tarama araçlarıyla bulunması zor veya imkânsız olan zafiyetlerin tespit edilmesi
4. Başarılı gerçekleşen bir saldırı sonrasında oluşabilecek zararın etkisini değerlendirme
5. Ağ güvenliği için alınan önlemlerin olası bir saldırıyı tespit edip etmediğinin test edilmesi
6. Kurum yönetimine veya müşteriye, bilgi teknolojilerine ve bilgi güvenliği personeline yapılan yatırımdaki artışı destekleyecek kanıtlar sunması
7. Kurum veya kuruluşların uyum gereksinimlerinin yerine getirilmesi (PCI-DSS, HIPAA, ISO-27001 gibi)
8. Adli Bilişim tekniklerinde olduğu gibi, bir güvenlik zafiyeti olayından sonra olay zincirinin yeniden canlandırılmasıyla ne tür bir saldırı gerçekleştiğinin tespit edilmesi.