- Katılım
- 2 Şubat 2021
- Mesajlar
- 59
- Tepkime puanı
- 81
- İlgi Alanlarınız
- İnstagram f5 cnm ok
- Cinsiyet
-
- Erkek
Sızma testi bittikten sonra görev kısmen tamamlanmıştır. Sonraki adım sonuçlar çıkarmak , bunları değerlendirmek , zafiyetleri gidermek için gerekli tedbirleri almak ve bulguları yazılı hale getirmektedir. Sızma testi tamamlandıktan sonra zafiyet olduğunu değerlendiğiniz varlıkları ve bu zafiyetleri gidermek için alınabilecek muhtemel tedbirleri belirtmeniz gerekir .
Bunu yerine getirirken risk yönetimi yaklaşımında olduğu gibi hangilerini kabul edeceğiniz, hangilerini transfer edeceğinizi ve hangilerinden kaçınacağınızı belirterek sistemli bir yaklaşım sergilemeniz gerekir. Bu kararları verirken değerlendirmenize dahil etmeyi unutmayın . Her bir zafiyet için gerekli düzeltmeleri yerine getirin. Yeni konfigürasyonunuzu uyguladıktan sonra , konfigürasyon takibi için baz alacağınız referans değerleri belirleyin , dokümantasyonunuzu güncelleyin ve iç politikalar veya yasal uyumluluk çerçevesinde hazırlamanız gereken rapor veya dokümanları oluşturun.
Raporlama Ve Çözümle
Açık değerlendirmesi sonuçlarınızı yönetim kademesine gerektiği şekilde iletmedikçe çabalarınız boşa gidecektir . Zafiyetlerin neden ve nasıl meydana geldiklerini ve bunların nasıl giderebileceğini karar makamı olan yöneticilere en açık ve iyi şekilde rapor etmeniz gerekmektedir. Raporunuz mevcut güvenlik tedbirlerinin değerlendirmesi , zafiyetlerin giderilmesi ve teklifleriniz gibi hususları kapsayacağından kurumun güvenlik alanında geliştirilmesine katkı sağlayacaktır. Etkili bir sızma testi raporu en az aşağıdaki hususları kapsar;
Hazırlık
Sızma testinin hedefini açık bir şekilde belirtin.
Raporu okuyacaklara konuyu en iyi nasıl açıklayabileceğinizi düşünün.
Test kapsamındaki bütün ilgili olayları dahil ettiğinizden emin olun.
İçerik
Test sırasında kullandığınız metodolojiyi ayrıntılı bir şekilde belirtin.
Tespit ettiğiniz özel varlıkları ve zafiyetleri açıklayarak her bir testin sonuçlarını ayrıntılı bir şekilde belirtin.
Sonuçlara sizin değerlendirme ve analizinizi ekleyin.
Uygulanabilecek iyileştirme tekniklerini teklif edin.
Rapor Formatı
Raporunuzu yasal mevzuatlara ve sanayi standartlarına göre formatlayın.
Açık bir dille yazın ve teknik jargondan kaçının.
Rahat okunabilmesi ve anlaşılmasını sağlamak için raporunuzu çeşitli grup ve alt bölümlere ayırın.
Gözden Geçirme
Raporu teslim etmeden önce gerekli kontrolleri tekrar tekrar yapın.
Raporu teslim etmeden önce konuyla ilgili ikinci bir uzmandan raporunuz hakkında görüş alın.
Taslak bir sızma testi raporu hazırladığınızda kurum içerisinde farklı görevlerde ve farklı teknik bilgi seviyelerinde olan insanların okuyacağını göz önünde bulundurmanız gerekmektedir . Sızma testi raporunuzu okuyacak kişiler arasında genel müdür , üst düzey bilgi güvenliği yöneticisi , IT yöneticisi ve genel fiziksel güvenlik yöneticisi yer alabilir .İlave olarak , raporu sızma testi öncesinde belirlenen ROE kapsamında yazacağınızı da aklınızda bulundurun . Bu nedenle raporunuzu hedef kitlenizin tamamının anlayabileceği şekilde modüler bir yapıda yazmanız gerekecektir. Raporunuzu hazırlarken aşağıda sıralanan hususları dikkate almanızda fayda vardır.
Raporunuzu başarı bir şekilde ortaya dökebilmek için test sürecinde elde ettiğiniz bilgileri bütün halinde bir araya getirmeniz gerekir. Test süresince birçok farklı bilgi kaynağı ve her bir bilgi kaynağının farklı formatlarda veri sunabileceğin göz önüne alındığında , hazırlıksız bir test uygulayıcısı için bu iş zaman alıcı ve zorlu bir görev haline gelebilir.
Test süresince kullandığınız araç ve yazılımlar farklı formatlarda, görsel veya düz metin şeklinde sonuçlar verebilir. Diğer bir husus , üzerinde test yapılan sistemler farklı işletim sistemlerinde olabilir veya farklı uygulamalar kullanabilir. Bunlarda size kendi yapılarında değerli bilgiler sunacaktır. Bütün bu farklı bilgi kaynakları içerisinde , hepsini anlaşabilecek şekilde raporunuzda bir araya getirmek sizin görevinizdir.
Bütün bu bilgileri düzenli şekilde bir araya getirebilmek için bilgi toplama işine testten sonra değil , test esnasında başlamanız gerekir. Bu kapsamda dikkat ve takip etmeniz gereken bazı hususları aşağıda sıralanmıştır.
Testin her aşama ve adımında manuel olarak notlar alın.
Testten etkilenen hostların ekran alıntıları veya sistem imajlarını alın.
İlgili tüm ağ trafiğinin kaydını alın.
İlgili tüm sistem olaylarının host bazında kaydını alın.
Tarama araçlarının sonuçları raporladığından emin olun.
Bu test için bir takım halinde çalışıyor olabilirsiniz. Bu nedenle , tüm takım elemanlarının toplanan bilgiye eklemeler yapabileceği veya bu bilgilere erişebileceği merkezi bir yer belirleyin.
Raporun Gizlilik Derecesi Ve Dağıtımı
Raporunuz için belirleyeceğiniz gizlilik derecesi , içeriğini ve kimler tarafından okunabileceğini belirleyecektir. Rapor içeriği doğal olarak yetkisiz personelin erişimine kapalı hassas bilgiler içereceğinden , raporunuzun gizlilik derecesini veya sınıflandırılmasını bu kapsamda düşünmeniz gerekecektir.
Örneğin rapor içerisinde ana sunucuların ağ adresleri varsa bu raporun gizlilik derecesi gizli veya kısıtlı erişim olacaktır. Sistemlerinizdeki zafiyet noktalarının güvenlik açısından sadece ilgili personel tarafından bilinmesi gerektiğinden harekete i raporun tamamı gizli gizlilik derecesinde olabilir. Yöneticiler gibi teknik olmayan personele sadece özel kısmını vermek teknik detayların bulunduğu kısmı sadece uygun IT personeline vermek şeklinde tedbirler alabilirsiniz.
Raporunuzun sınıflandırılmasını ve gizlilik derecesini belirledikten sonra dağıtımını yapabilirsiniz. Ancak , bu adım bile güvenli bir şekilde yerine getirmelidir. Aksi takdirde rapor yanlış ellere geçebilir. Raporun dağıtımını yaparken aşağıdaki hususları dikkate almanız fayda vardır.
Yazılı çıktıkları kontrol altında tutun.
Raporun her bir yazılı kopyasının listesini tutun.
Her bir kopyayı kendine özel bir sayıyla numaralandırın.
Kopyaları alıcılara , teslim tarih ve zamanına göre isimlendirin.
Rapor kopyasının ilgili personele bizzat elden teslim edin.
Temizlik
Testten sonra test kapsamında toplanan tüm verileri güvenli bir şekilde silin.
Yönetim ve diğer yetkilileri güvenli silme işleminin gerçekleştirildiği hususunda bilgilendirin.
Mücadele Planlaması
Açık yönetim sürecinde mücadele planı en kolay faaliyet gibi görünse de aslında üzerinde durulması gereken ve çok önemli bir faaliyettir. Kolaydır , çünkü önceki safhalarda bütün zor işlemler tamamlanmış ve sadece hazırlanan rapor doğrultusunda alınacak önlemlerin hayata geçirilmesi kalmıştır.
Önemlidir , çünkü yerine getirilmemesi durumunda bu safhaya kadar yapılan tüm çalışmalar boşa gider ve sistemler hala saldırılara karşı zafiyet içerisinde kalır. Özellikle büyük çaplı işletme ve kurumlarda güncellemesi veya yamalanması gereken çok büyük rakamlara varan cihaz ve sistem sayısı bu safhanın tam anlamıyla yerine getirilmesine zorlaştırır.
Microsoft MS03-23 açığını duyurup yamayı yayınladığında bu tür bir vaka meydana geldi . Bu duyurudan çok kısa süre sonra küçük işletme ve kurumlar işletim sistemlerini bu yama ile güncellediler. Ancak , büyük çaplı işletme ve kurumların tepki süreleri ve tüm sistemlerini güncellemeleri çok daha uzun sürdü ve saldırganlar bu gecikmeden faydalandılar. Saldırganlar , Mıcrosoft yamayı yayınladıktan sadece 26 gün sonra yamalanmış işletim sistemlerinde hala mevcut olan bu açıktan faydalanmak için MS Blaster isimli solucanı yayınladılar.
26 günlük bu süre , aslında büyük çaplı işletme ve kurumlar için dahi yeterli bir süreydi, ancak önceden hazırlanmış bir mücadele / tepki planının response plan yokluğu saldırıların hedefi olmalarına neden oldu. Bu konudaki diğer bir örnek ise daha önce de örnek olarak anlattığımız WanCry fidye yazılımıdır. Microsoft yamayı Mart ayında yayınlamıştı ve ilk saldırı Mayıs ayında gerçekleşmişti. Mart ayında Mayıs ayına kadar geçen sürede bazı işletme ve kurumlar yama güncellemesini tüm cihaz ve sistemlerine uygulayamamışlardı. Bunun en büyük nedeni ise mücadele/tepki planı eksikliği veya hazırlanmış olanların yetersiz ve eksik olmasıydı.
Bunu yerine getirirken risk yönetimi yaklaşımında olduğu gibi hangilerini kabul edeceğiniz, hangilerini transfer edeceğinizi ve hangilerinden kaçınacağınızı belirterek sistemli bir yaklaşım sergilemeniz gerekir. Bu kararları verirken değerlendirmenize dahil etmeyi unutmayın . Her bir zafiyet için gerekli düzeltmeleri yerine getirin. Yeni konfigürasyonunuzu uyguladıktan sonra , konfigürasyon takibi için baz alacağınız referans değerleri belirleyin , dokümantasyonunuzu güncelleyin ve iç politikalar veya yasal uyumluluk çerçevesinde hazırlamanız gereken rapor veya dokümanları oluşturun.
Raporlama Ve Çözümle
Açık değerlendirmesi sonuçlarınızı yönetim kademesine gerektiği şekilde iletmedikçe çabalarınız boşa gidecektir . Zafiyetlerin neden ve nasıl meydana geldiklerini ve bunların nasıl giderebileceğini karar makamı olan yöneticilere en açık ve iyi şekilde rapor etmeniz gerekmektedir. Raporunuz mevcut güvenlik tedbirlerinin değerlendirmesi , zafiyetlerin giderilmesi ve teklifleriniz gibi hususları kapsayacağından kurumun güvenlik alanında geliştirilmesine katkı sağlayacaktır. Etkili bir sızma testi raporu en az aşağıdaki hususları kapsar;
Hazırlık
Sızma testinin hedefini açık bir şekilde belirtin.
Raporu okuyacaklara konuyu en iyi nasıl açıklayabileceğinizi düşünün.
Test kapsamındaki bütün ilgili olayları dahil ettiğinizden emin olun.
İçerik
Test sırasında kullandığınız metodolojiyi ayrıntılı bir şekilde belirtin.
Tespit ettiğiniz özel varlıkları ve zafiyetleri açıklayarak her bir testin sonuçlarını ayrıntılı bir şekilde belirtin.
Sonuçlara sizin değerlendirme ve analizinizi ekleyin.
Uygulanabilecek iyileştirme tekniklerini teklif edin.
Rapor Formatı
Raporunuzu yasal mevzuatlara ve sanayi standartlarına göre formatlayın.
Açık bir dille yazın ve teknik jargondan kaçının.
Rahat okunabilmesi ve anlaşılmasını sağlamak için raporunuzu çeşitli grup ve alt bölümlere ayırın.
Gözden Geçirme
Raporu teslim etmeden önce gerekli kontrolleri tekrar tekrar yapın.
Raporu teslim etmeden önce konuyla ilgili ikinci bir uzmandan raporunuz hakkında görüş alın.
Taslak bir sızma testi raporu hazırladığınızda kurum içerisinde farklı görevlerde ve farklı teknik bilgi seviyelerinde olan insanların okuyacağını göz önünde bulundurmanız gerekmektedir . Sızma testi raporunuzu okuyacak kişiler arasında genel müdür , üst düzey bilgi güvenliği yöneticisi , IT yöneticisi ve genel fiziksel güvenlik yöneticisi yer alabilir .İlave olarak , raporu sızma testi öncesinde belirlenen ROE kapsamında yazacağınızı da aklınızda bulundurun . Bu nedenle raporunuzu hedef kitlenizin tamamının anlayabileceği şekilde modüler bir yapıda yazmanız gerekecektir. Raporunuzu hazırlarken aşağıda sıralanan hususları dikkate almanızda fayda vardır.
Raporunuzu başarı bir şekilde ortaya dökebilmek için test sürecinde elde ettiğiniz bilgileri bütün halinde bir araya getirmeniz gerekir. Test süresince birçok farklı bilgi kaynağı ve her bir bilgi kaynağının farklı formatlarda veri sunabileceğin göz önüne alındığında , hazırlıksız bir test uygulayıcısı için bu iş zaman alıcı ve zorlu bir görev haline gelebilir.
Test süresince kullandığınız araç ve yazılımlar farklı formatlarda, görsel veya düz metin şeklinde sonuçlar verebilir. Diğer bir husus , üzerinde test yapılan sistemler farklı işletim sistemlerinde olabilir veya farklı uygulamalar kullanabilir. Bunlarda size kendi yapılarında değerli bilgiler sunacaktır. Bütün bu farklı bilgi kaynakları içerisinde , hepsini anlaşabilecek şekilde raporunuzda bir araya getirmek sizin görevinizdir.
Bütün bu bilgileri düzenli şekilde bir araya getirebilmek için bilgi toplama işine testten sonra değil , test esnasında başlamanız gerekir. Bu kapsamda dikkat ve takip etmeniz gereken bazı hususları aşağıda sıralanmıştır.
Testin her aşama ve adımında manuel olarak notlar alın.
Testten etkilenen hostların ekran alıntıları veya sistem imajlarını alın.
İlgili tüm ağ trafiğinin kaydını alın.
İlgili tüm sistem olaylarının host bazında kaydını alın.
Tarama araçlarının sonuçları raporladığından emin olun.
Bu test için bir takım halinde çalışıyor olabilirsiniz. Bu nedenle , tüm takım elemanlarının toplanan bilgiye eklemeler yapabileceği veya bu bilgilere erişebileceği merkezi bir yer belirleyin.
Raporun Gizlilik Derecesi Ve Dağıtımı
Raporunuz için belirleyeceğiniz gizlilik derecesi , içeriğini ve kimler tarafından okunabileceğini belirleyecektir. Rapor içeriği doğal olarak yetkisiz personelin erişimine kapalı hassas bilgiler içereceğinden , raporunuzun gizlilik derecesini veya sınıflandırılmasını bu kapsamda düşünmeniz gerekecektir.
Örneğin rapor içerisinde ana sunucuların ağ adresleri varsa bu raporun gizlilik derecesi gizli veya kısıtlı erişim olacaktır. Sistemlerinizdeki zafiyet noktalarının güvenlik açısından sadece ilgili personel tarafından bilinmesi gerektiğinden harekete i raporun tamamı gizli gizlilik derecesinde olabilir. Yöneticiler gibi teknik olmayan personele sadece özel kısmını vermek teknik detayların bulunduğu kısmı sadece uygun IT personeline vermek şeklinde tedbirler alabilirsiniz.
Raporunuzun sınıflandırılmasını ve gizlilik derecesini belirledikten sonra dağıtımını yapabilirsiniz. Ancak , bu adım bile güvenli bir şekilde yerine getirmelidir. Aksi takdirde rapor yanlış ellere geçebilir. Raporun dağıtımını yaparken aşağıdaki hususları dikkate almanız fayda vardır.
Yazılı çıktıkları kontrol altında tutun.
Raporun her bir yazılı kopyasının listesini tutun.
Her bir kopyayı kendine özel bir sayıyla numaralandırın.
Kopyaları alıcılara , teslim tarih ve zamanına göre isimlendirin.
Rapor kopyasının ilgili personele bizzat elden teslim edin.
Temizlik
Testten sonra test kapsamında toplanan tüm verileri güvenli bir şekilde silin.
Yönetim ve diğer yetkilileri güvenli silme işleminin gerçekleştirildiği hususunda bilgilendirin.
Mücadele Planlaması
Açık yönetim sürecinde mücadele planı en kolay faaliyet gibi görünse de aslında üzerinde durulması gereken ve çok önemli bir faaliyettir. Kolaydır , çünkü önceki safhalarda bütün zor işlemler tamamlanmış ve sadece hazırlanan rapor doğrultusunda alınacak önlemlerin hayata geçirilmesi kalmıştır.
Önemlidir , çünkü yerine getirilmemesi durumunda bu safhaya kadar yapılan tüm çalışmalar boşa gider ve sistemler hala saldırılara karşı zafiyet içerisinde kalır. Özellikle büyük çaplı işletme ve kurumlarda güncellemesi veya yamalanması gereken çok büyük rakamlara varan cihaz ve sistem sayısı bu safhanın tam anlamıyla yerine getirilmesine zorlaştırır.
Microsoft MS03-23 açığını duyurup yamayı yayınladığında bu tür bir vaka meydana geldi . Bu duyurudan çok kısa süre sonra küçük işletme ve kurumlar işletim sistemlerini bu yama ile güncellediler. Ancak , büyük çaplı işletme ve kurumların tepki süreleri ve tüm sistemlerini güncellemeleri çok daha uzun sürdü ve saldırganlar bu gecikmeden faydalandılar. Saldırganlar , Mıcrosoft yamayı yayınladıktan sadece 26 gün sonra yamalanmış işletim sistemlerinde hala mevcut olan bu açıktan faydalanmak için MS Blaster isimli solucanı yayınladılar.
26 günlük bu süre , aslında büyük çaplı işletme ve kurumlar için dahi yeterli bir süreydi, ancak önceden hazırlanmış bir mücadele / tepki planının response plan yokluğu saldırıların hedefi olmalarına neden oldu. Bu konudaki diğer bir örnek ise daha önce de örnek olarak anlattığımız WanCry fidye yazılımıdır. Microsoft yamayı Mart ayında yayınlamıştı ve ilk saldırı Mayıs ayında gerçekleşmişti. Mart ayında Mayıs ayına kadar geçen sürede bazı işletme ve kurumlar yama güncellemesini tüm cihaz ve sistemlerine uygulayamamışlardı. Bunun en büyük nedeni ise mücadele/tepki planı eksikliği veya hazırlanmış olanların yetersiz ve eksik olmasıydı.