KKTC Merkez Bankası Sızma Testi Genelgesi Kapsamında Sızma Testi

18 Aralık 2014 tarihinde, KKTC Merkez Bankasının 258 sayılı Resmi Gazetede yayınlamış olduğu ve 8 Nisan 2015’te yürürlüğe giren tebliğ kapsamında ve belirtilen usullerce Bankalar yılda en az 1 kez olmak üzere sızma testini yaptırmak zorundadırlar. Bu doğrultuda BTYÖN, TSE Onaylı Sızma Testi firması olarak, uzman ve uluslararası sertifikalara sahip ekibimizle birlikte ihtiyacınız olan sızma testini gerçekleştiriyoruz.

Amaç
Sızma (Penetrasyon) Testi, bankaların bilgi sistemlerini oluşturan altyapı, donanım, yazılım ve uygulamalara bir saldırganın izlemesi öngörülen yöntemler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanılarak sistemlere sızılmaya çalışılması, bu açıkların nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır. Sızma testinin amacı, banka bilgi sistemlerinde yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik açıklarının istismar edilmeden önce tespit edilmesi ve düzeltilmesidir.
Kapsam
Sızma testi, temel sızma testi ile bu testler sonrası uygulanacak detaylı sızma testinden oluşur. Sızma testi kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsamalıdır:
- İletişim Altyapısı ve Aktif Cihazlar
- DNS Servisleri
- Etki Alanı ve Kullanıcı Bilgisayarları
- E-posta Servisleri
- Veritabanı Sistemleri
- Web Uygulamaları
- Mobil Uygulamalar
- Kablosuz Ağ Sistemleri
- ATM (Automated Teller Machine) Sistemleri
- Sosyal Mühendislik Testi

Bankalar, isteğe bağlı olarak yukarıdaki konulara ek olarak Dağıtık Servis Dışı Bırakma testini de kapsam dâhiline alabilirler.
Metodoloji
Sızma testi, aşağıda detaylandırılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek temel sızma testi ve detaylı sızma testinden oluşur.

Temel sızma testi: Sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder.

Detaylı sızma testi: Temel sızma testi sonrası saptanan açıklık ve bulgular, bu dokümanın “Kapsam” bölümünde belirtilen ve ilişkili olduğu her bir başlık altında, detaylı sızma testi gerçekleştirilmesi suretiyle ayrıntılı olarak incelenerek raporlanır. Sızma testi gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak bankaların sorumluluğundadır. Sızma testi gerçekleştirilirken, banka faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler banka ile koordine edilerek planlı bir şekilde gerçekleştirilir.

Testlerin Gerçekleştirileceği Erişim Noktaları

Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.

İnternet: Bankanın internet üzerinden herkes tarafından erişebilen tüm sunucu ve servislerine sızma testi gerçekleştirilir.

Banka İç Ağı: Bankanın dışarıdan erişilemeyen iç ağ üzerinden erişebildiğimiz sistemlerine iç ağa bağlanarak yapılan sızma testlerini kapsar. Bu testte çalışan kişilerin kurum içinde nasıl bir zarara yol açabileceği test edilmektedir.

Şube Ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.

Sızma Testinin Gerçekleştirileceği Kullanıcı Profilleri

Sızma testinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testi gerçekleştirilir.

Anonim Kullanıcı Profili: İnternet üzerinden, bankanın web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Bankaya ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Banka Müşterisi Profili: İnternet üzerinden, bankanın web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde bankaya web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Banka Misafiri Profili: Bankayı ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.

Banka çalışanı profili:
Banka personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. Banka çalışanı profili ile gerçekleştirilecek testlerde, banka çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testi gerçekleştirilir. Banka çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa banka tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir.

Diğer Kullanıcı Profilleri: Sızma testinin, yukarıda tanımlanan diğer kullanıcı profillerine uymayan bir kullanıcı profili ile gerçekleştirilir. Kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.

Si̇stem tespi̇ti̇, Servi̇s Tespi̇ti̇ ve Açıklık Taraması

Temel sızma testi aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.

Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.

Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.

Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için, açıklık veri tabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından, etkileri araştırılır.

Temel Sızma Testleri

İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir konumdan, bankanın internet üzerinde sahip olduğu IP-Internet Protocol ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilir.

Banka iç ağından gerçekleştirilecek temel sızma testi: Bankanın iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
• Banka yerel ağ haritası tespiti
• Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi
• Yerel alan ağı içerisinde zafiyet taraması yapılması
• Banka yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
• Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi
• Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması

Banka şube ağından gerçekleştirilecek temel sızma testi: Bankanın şube ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
• Şube yerel ağ haritasının tespiti
• Şube yerel alan ağında zafiyet taraması yapılması
• Şube yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
• Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi
• Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi
• Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi.

Detaylı Sızma Testleri

Temel sızma testinin tamamlanması sonrası, “Kapsam” bölümünde belirtilen başlıkların her biri için detaylı sızma testi gerçekleştirilir.KKTC Merkez Bankasının Resmi Gazetede yayınlamış olduğu ilgili tebliğe aşağıdaki bağlantı üzerinden de ulaşabilirsiniz;
http://www.kktcmerkezbankasi.org/sites/default/files/mevzuat/KKTCMB_S%C4%B1zma_Testleri_Genelgesi_1%200.pdf

Daha fazla bilgi için

“Kabul Et” seçeneğine tıklayarak sitede gezinmeyi geliştirmek, site kullanımını analiz etmek ve pazarlama çabalarımıza yardımcı olmak amacıyla tüm çerezlerin cihazınızda saklanmasını kabul etmiş olursunuz.