BDDK Sızma Testi

Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.
‍İnternet: Bankanın internet üzerinden herkes tarafından erişebilen tüm sunucu ve servislerine sızma testi gerçekleştirilir.
‍Banka İç Ağı: Bankanın dışarıdan erişilemeyen iç ağ üzerinden erişebildiğimiz sistemlerine iç ağa bağlanarak yapılan sızma testlerini kapsar. Bu testte çalışan kişilerin kurum içinde nasıl bir zarara yol açabileceği test edilmektedir.
‍Şube Ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.

Sızma testlerinin düzgün bir şekilde gerçekleştirilebilmesi ve her kullanıcının kendi yetki alanını test edebilmek için farklı kullanıcılar bulunmaktadır. Bu kullanıcılar üzerinden yukarıdaki erişim noktalarına ayrı ayrı testler gerçekleştirilerek yetkilendirmelerin düzgün yapılandırılıp yapılandırılmadığı kontrol edilir.
‍Anonim Kullanıcı Profili: İnternet üzerinden bankanın web servislerine erişebilen fakat web uygulamalarına giriş yetkisi olmayan kullanıcıyı temsil eder. Bu kullanıcının banka uygulaması üzerinde bir üyeliği bulunmadan bankaya nasıl bir zarar verebileceğini ölçmek amacıyla bu profil kullanılmaktadır.
‍Banka Müşterisi Profili: Bankanın web servislerine ve web uygulamalarına erişimi olan bankanın kurumsal ya da bireysel müşterisine ait kullanıcıyı temsil eder. Banka müşterisinin bankaya ait web uygulamalarına verebilecekleri zararı görmek için bu kullanıcı profili kullanılmaktadır.
‍Banka Misafiri Profili: Bankaya fiziksel olarak erişimde bulunan orayı ziyaret eden kişinin misafir ağına bağlanarak ağ üzerinden yapabileceği tehditleri tespit etmek amacıyla banka misafir profili kullanılmaktadır.
‍Banka Çalışanı Profili: Banka çalışan profilinde yapılan testlerde banka üzerinde belirli yetkilere sahip kişilerin ortamını kullanarak bunların bankaya nasıl bir zarar verebileceğinin tespit edilmesi hedeflenmektedir. Bu profilde normal bir banka çalışanının hesabı, daha yetkili yöneticilerin hesapları gibi raporda banka tarafından tanımlanan erişim yetkileri kapsamında tüm hesaplar ile testler gerçekleştirilecektir.
‍Diğer Kullanıcı Profilleri: Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.

Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.
‍Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.
‍Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.
‍Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır.

İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir lokasyondan, bankanın internet üzerinde bulunan ip aralığı taranarak bu ağ üzerindeki sistemler, çalışan servisler, servis sürümleri ve servisler üzerindeki zafiyetlerin tespiti yapılır.
‍Banka iç ağı üzerinden gerçekleştirilecek temel sızma testleri: Banka iç ağından gerçekleştirilen sızma testlerinde de öncelikli olarak iç ağ üzerinde bulunan makineler tespit edilir ve bu makineler üzerinde bulunan sistemler, servisler ve servisler üzerindeki zafiyetlerin tespiti yapılır. Bu taramaların yanında;Kurum içinde bulunun ağ altyapısının topolojisi çıkarılır.Tespit edilen portlar üzerindeki servislerde bulunan güvenlik duvarlarının güvenlik testleri gerçekleştirilir.Yerel ağ dinlenerek ağ üzerindeki trafik de bulunan hassas bilgiler elde edilmeye çalışılır.Elde edilen bilgiler ile diğer makineleri ele geçirme ve daha yetkili bir hesaba ulaşılmaya çalışılır.
‍Banka şube ağı üzerinden gerçekleştirilecek temel sızma testleri: Banka şube ağı testleri gerçekleştirirken de temel olarak şube ağı üzerinde bulunan makineler tespit edilir ve bu makineler üzerinde bulunan sistemler, servisler ve servisler üzerindeki zafiyetlerin tespiti yapılır. Bu taramaların yanında;Şube içinde bulunun ağ altyapısının topolojisi çıkarılır.Şube yerel alan ağında zafiyet taraması yapılması.Şube ağında araya girerek trafik üzerinden hassas bilgilerin toplanması.Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi.Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi.Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi.

Temel sızma testi aşamasında toplanan bilgiler dahilinde kapsamda belirtilen başlıkların her birine detaylı olarak zafiyet analizi yapılır. Bulunan bulgular tüm detayları ile birlikte BDDK rapor kapsamına uygun bir biçimde raporlanır.