BDDK Sızma Testi

Banka ve finans sektörü uygulamaları kritik düzeyde uygulamalardır. Bu yüzden bu işletmeler zorunlu olarak BDDK Uyumlu sızma testi yaptırmaktadırlar. Bu sızma testlerini gerçekleştirirken aşağıdaki belirtilenler dikkate alınarak uzman ekibimiz tarafından sızma testini gerçekleştirmekteyiz.

Amaç
Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.İnternet: Bankanın internet üzerinden herkes tarafından erişebilen tüm sunucu ve servislerine sızma testi gerçekleştirilir.Banka İç Ağı: Bankanın dışarıdan erişilemeyen iç ağ üzerinden erişebildiğimiz sistemlerine iç ağa bağlanarak yapılan sızma testlerini kapsar. Bu testte çalışan kişilerin kurum içinde nasıl bir zarara yol açabileceği test edilmektedir.Şube Ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.
Kapsam
Sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur. Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar.
İletişim Altyapısı ve Aktif Cihazlar
DNS Servisleri
Etki Alanı ve Kullanıcı Bilgisayarları
E-posta Servisleri
Veritabanı Sistemleri
Web Uygulamaları
Mobil Uygulamalar
Kablosuz Ağ Sistemleri
ATM Sistemleri
Dağıtık Servis Dışı Bırakma Testleri
Sosyal Mühendislik Testleri
Metodoloji
Sızma testleri, aşağıdaki tanımlanan kullanıcı profilleri ile tanımlanan erişim noktalarına gerçekleştirilecek temel sızma testleri ve detaylı sızma testlerinden oluşur. Temel sızma testlerinde sistem üzerindeki temel taramalar yapılır. Sistem hakkında bilgiler, çalışan servisler, kurum bilgileri gibi yardımcı bilgiler toplanır ve zafiyet taraması gerçekleştirilir ve erişim noktaları üzerinde araştırmalara devam edilir. Temel sızma testi sonrasında bulunan zafiyetler üzerinden detaylı bir sızma testi işlemi gerçekleştirilir. Burada ayrıntılı olarak bulgular ele geçirilmeye ve ne gibi zafiyetlere yol açacağı bulunmaya çalışılır daha sonra tüm bulgular ayrıntılı şekilde raporlanır.Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak bankaların sorumluluğundadır.Sızma testleri gerçekleştirilirken, banka faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler banka ile koordineli bir şekilde planlanarak gerçekleştirilir.

Testlerin Gerçekleştirileceği Erişim Noktaları

Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.
İnternet: Bankanın internet üzerinden herkes tarafından erişebilen tüm sunucu ve servislerine sızma testi gerçekleştirilir.
Banka İç Ağı: Bankanın dışarıdan erişilemeyen iç ağ üzerinden erişebildiğimiz sistemlerine iç ağa bağlanarak yapılan sızma testlerini kapsar. Bu testte çalışan kişilerin kurum içinde nasıl bir zarara yol açabileceği test edilmektedir.
Şube Ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.

Testlerin Gerçekleştirileceği Kullanıcı Profilleri

Sızma testlerinin düzgün bir şekilde gerçekleştirilebilmesi ve her kullanıcının kendi yetki alanını test edebilmek için farklı kullanıcılar bulunmaktadır. Bu kullanıcılar üzerinden yukarıdaki erişim noktalarına ayrı ayrı testler gerçekleştirilerek yetkilendirmelerin düzgün yapılandırılıp yapılandırılmadığı kontrol edilir.
Anonim Kullanıcı Profili: İnternet üzerinden bankanın web servislerine erişebilen fakat web uygulamalarına giriş yetkisi olmayan kullanıcıyı temsil eder. Bu kullanıcının banka uygulaması üzerinde bir üyeliği bulunmadan bankaya nasıl bir zarar verebileceğini ölçmek amacıyla bu profil kullanılmaktadır.
Banka Müşterisi Profili: Bankanın web servislerine ve web uygulamalarına erişimi olan bankanın kurumsal ya da bireysel müşterisine ait kullanıcıyı temsil eder. Banka müşterisinin bankaya ait web uygulamalarına verebilecekleri zararı görmek için bu kullanıcı profili kullanılmaktadır.
Banka Misafiri Profili: Bankaya fiziksel olarak erişimde bulunan orayı ziyaret eden kişinin misafir ağına bağlanarak ağ üzerinden yapabileceği tehditleri tespit etmek amacıyla banka misafir profili kullanılmaktadır.
Banka Çalışanı Profili: Banka çalışan profilinde yapılan testlerde banka üzerinde belirli yetkilere sahip kişilerin ortamını kullanarak bunların bankaya nasıl bir zarar verebileceğinin tespit edilmesi hedeflenmektedir. Bu profilde normal bir banka çalışanının hesabı, daha yetkili yöneticilerin hesapları gibi raporda banka tarafından tanımlanan erişim yetkileri kapsamında tüm hesaplar ile testler gerçekleştirilecektir.
Diğer Kullanıcı Profilleri: Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.

Sistem Tespiti Servis Tespiti ve Açıklık Taraması

Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.
Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.
Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.
Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır.

Temel Sızma Testleri

İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir lokasyondan, bankanın internet üzerinde bulunan ip aralığı taranarak bu ağ üzerindeki sistemler, çalışan servisler, servis sürümleri ve servisler üzerindeki zafiyetlerin tespiti yapılır.
Banka iç ağı üzerinden gerçekleştirilecek temel sızma testleri: Banka iç ağından gerçekleştirilen sızma testlerinde de öncelikli olarak iç ağ üzerinde bulunan makineler tespit edilir ve bu makineler üzerinde bulunan sistemler, servisler ve servisler üzerindeki zafiyetlerin tespiti yapılır. Bu taramaların yanında;Kurum içinde bulunun ağ altyapısının topolojisi çıkarılır.Tespit edilen portlar üzerindeki servislerde bulunan güvenlik duvarlarının güvenlik testleri gerçekleştirilir.Yerel ağ dinlenerek ağ üzerindeki trafik de bulunan hassas bilgiler elde edilmeye çalışılır.Elde edilen bilgiler ile diğer makineleri ele geçirme ve daha yetkili bir hesaba ulaşılmaya çalışılır.
Banka şube ağı üzerinden gerçekleştirilecek temel sızma testleri: Banka şube ağı testleri gerçekleştirirken de temel olarak şube ağı üzerinde bulunan makineler tespit edilir ve bu makineler üzerinde bulunan sistemler, servisler ve servisler üzerindeki zafiyetlerin tespiti yapılır. Bu taramaların yanında;Şube içinde bulunun ağ altyapısının topolojisi çıkarılır.Şube yerel alan ağında zafiyet taraması yapılması.Şube ağında araya girerek trafik üzerinden hassas bilgilerin toplanması.Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi.Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi.Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi.

Detaylı Sızma Testleri

Temel sızma testi aşamasında toplanan bilgiler dahilinde kapsamda belirtilen başlıkların her birine detaylı olarak zafiyet analizi yapılır. Bulunan bulgular tüm detayları ile birlikte BDDK rapor kapsamına uygun bir biçimde raporlanır.

Daha fazla bilgi için

“Kabul Et” seçeneğine tıklayarak sitede gezinmeyi geliştirmek, site kullanımını analiz etmek ve pazarlama çabalarımıza yardımcı olmak amacıyla tüm çerezlerin cihazınızda saklanmasını kabul etmiş olursunuz.