'Sızma testleri, 4 siber güvenlik ihlalinden yaklaşık üçünü engelliyor'
SİBER güvenlik altyapılarının performansını değerlendirmek için kullanılan sızma testlerine talep arttı. Küresel raporlar, sızma testlerinin 4 siber güvenlik ihlalinden yaklaşık üçünü engellemeye yardımcı olduğunu gösterdi. Konuyla ilgili değerlendirmelerini paylaşan Privia Security Siber Güvenlik Takım Lideri Anıl Mamak, “BT altyapılarının güvenlik açıklarını saldırganlardan önce tespit ederek 4 saldırıdan yaklaşık üçünü engellemeyi mümkün kılan sızma testleri, aynı zamanda operasyonel teknoloji ve nesnelerin interneti altyapılarının potansiyel risklerini açığa çıkarmakta da standarda dönüşen bir yöntem” dedi.
Yapay zeka gibi araçların benimsenme hızı ve potansiyeli, siber saldırganların etki alanlarını genişletirken, siber tehdit ortamını da daha riskli hale getirerek veri ihlallerini daha maliyetli kıldı. IBM tarafından yayımlanan Cost of Data Breach 2024 raporu, bu yıl bir siber güvenlik ihlalinin şirketlere ortalama maliyetinin 4,88 milyon doları bulduğunu gösterdi. 5 milyon dolara yaklaşan maliyetler, bulut dönüşümünde hız kazanan, yapay zeka gibi araçları iş süreçlerine entegre eden işletmelerin mevcut BT altyapılarının güvenlik seviyesini ölçmeyi de kritik konulardan birine dönüştürdü. Tüm bu gelişmeler, siber güvenlik ihlallerinin yüzde 72’sini engelleyebildiği bilinen ve BT sistemlerinin güvenlik kapasitesini ölçmenin endüstri standardı halini alan sızma testlerine (pentest) yönelik talebi artırdı.
Konuyla ilgili değerlendirmelerini paylaşan Privia Security Siber Güvenlik Takım Lideri Anıl Mamak, “Ticaret savaşları, jeopolitik gerilimler, diplomatik kutuplaşmalar ve teknolojide görülen çığır açıcı ilerlemeler, siber güvenlik risklerini liderlerin ajandalarında ilk sıraya yerleştirdi. BT altyapılarının güvenlik açıklarını saldırganlardan önce tespit ederek 4 saldırıdan yaklaşık üçünü engellemeyi mümkün kılan sızma testleri, aynı zamanda operasyonel teknoloji ve nesnelerin interneti altyapılarının potansiyel risklerini açığa çıkarmakta da standarda dönüşen bir yöntem” dedi.
‘ŞİRKETLERİN GÜVENLİK RİSKLERİNİ SİBER SALDIRGANLARDAN ÖNCE TESPİT ETMELERİNE ARACILIK EDİYORUZ’
Mamak, “Ponemon Enstitüsü tarafından ve proaktif güvenlik önlemlerini değerlendiren bir raporda, 5 şirketten üçünün, İngilizcede pentest veya penetration test olarak anılan sızma testlerini bulut güvenliği süreçlerinin kritik bir unsuru olarak değerlendirdiği görüldü. Telekomünikasyon, sağlık, finans ve enerji gibi, hassas verilerin yoğun olduğu, kritik sektörlerde faaliyet gösteren şirketlerin yeni teknolojileri çok hızlı benimsiyor. Benimsenen her yeni teknoloji; IT, OT ve IoT altyapıları için yeni riskleri de beraberinde getiriyor. Özellikle büyük ölçekli BT altyapılarına sahip işletmeler için internete bağlı her cihaz, bir güvenlik riskine dönüşebiliyor. 2018’den bu yana sızma testi ve Red Team çözümlerinde uzmanlaşan Privia Security olarak, TSE, SOME Rehberi, BDDK Sızma Testleri Genelgesi gibi ulusal; NIST, OSSTMM, ISSAF ve OWASP gibi uluslararası metodolojik yaklaşımları temel alarak, proje başlangıcında belirlediğimiz takvim dahilinde işletmelerin tüm teknoloji varlıklarını teste tabi tutuyoruz. Elde ettiğimiz sonuçları endüstri standardı yaklaşımlarla raporluyor ve şirketlerin güvenlik risklerini siber saldırganlardan önce tespit etmelerine aracılık ediyoruz” diye konuştu.
‘CİHAZ TÜM SİSTEMİN ELE GEÇİRİLMESİNE SEBEP OLABİLİYOR’
Sızma testleri, olan veya oluşabilecek güvenlik zafiyetlerinin büyük bir sorun haline gelmeden önce tespiti konusunda faydalı bir yaklaşım olduğunu aktaran Mamak, “Bazen çok göz önünde olmayan bir cihaz tüm sistemin ele geçirilmesine sebep olabiliyor. Bunun örneklerini sızma testlerinde sıklıkla görüyoruz. Örneğin bir kurumda yaptığımız sızma testlerinde, kuruma ait kiosk cihazlarında çok basit ama tüm kurum ağını etkileyen bir zafiyet keşfetmiştik. Kiosk ekranlarında normalde sadece kullanılan uygulamanın görüntüsü olur ve işletim sistemine direkt erişmemiz engellenir. Sızma testi yaptığımız kuruma ait tüm kiosk’larda basit sayılabilecek bir tuş kombinasyonu ile işletim sistemi ekranına geçiş yapılabildiğini fark ettik ve işletim sistemine geçiş yaptığımızda kiosk’un kurulumunu yapan firmanın kiosk’a bağlantısı ile uzaktan bağlandığını gördük. Buradan uzaktan bağlantı bilgilerini aldık ve kiosk’a direkt kurum ağına bağlı olmaya gerek kalmadan bağlandık. Bir işletim sisteminde kullanıcı kimlik bilgilerini almanın birçok yöntemi var. Biz de bu yöntemlerden birini kullanarak kiosk’daki yönetici hesabının kimlik bilgilerini elde ettik ve bu yönetici hesabının aynı zamanda kurum içerisindeki birçok sunucuda ve kuruma ait tüm kiosk’larda kullanıldığını tespit ettik. Bir kiosk’tan yola çıkarak kurumdaki tüm hesapları ele geçirebildik ve bu hesaplarla kurumdaki her sunucuya erişimimiz oldu. Sızma testinde tespit edilen bu zafiyet kiosk’u kullanan kötü niyetli herhangi biri tarafından da tespit edilebilirdi ve sonuçları kurum için çok ağır olabilirdi. Bizim zafiyeti tespit ettiğimiz kiosk kurumun içinde bile değildi. Kurum binasının dışında kurumun giriş kapısının yanındaydı ve herkes kullanabiliyordu. Bunun gibi sayısız örnek verebiliriz bizzat deneyimlediğimiz ve tespit ettiğimiz” ifadelerini kullandı.
'KONU SADECE GÜVENLİK DEĞİL, UYUMLULUK'
PCI DSS ve HIPAA gibi küresel standartların, hassas veri barındıran finans ve sağlık gibi sektörlerde faaliyet gösteren büyük ölçekli şirketler için sızma testlerini zorunlu kıldığını dile getiren Mamak, “Güvenlik açıklarını tespit etmeye yönelik yetkilendirilmiş ve kontrollü bir saldırı simülasyonu anlamına gelen sızma testleri, ihlal risklerini ortaya çıkarmanın ötesinde, şirketlerin güvenlik postürlerini güçlendirmek ve yasal uyum gereksinimlerini karşılamak için de önemli bir gereksinime dönüştü. Yalnızca ihlal maliyetlerini değil, regülatif maliyetleri de göze almak istemeyen işletmeler, düzenli olarak sızma testi yaptırıyor. Sızma testi ve Red Team çözümlerinin yanı sıra SOC ve MDR ile EKS Scada alanlarında da uzmanlık geliştiren, Ar-Ge çalışmalarıyla ülkemize yerli siber güvenlik ürünleri de kazandıran Privia Security olarak, sosyal mühendislik testleriyle başlayan pentest sürecimiz DNS güvenliğine, web uygulamalarına, kablosuz ağlara, cloud altyapılarına ve sanallaştırma sistemlerine kadar uzanıyor. Toplamda sekiz evrede gerçekleştirdiğimiz testlerin sonunda işletmelerin siber güvenlik ekiplerini riskler konusunda bilgilendiriyor ve önlemler konusunda danışmanlık sağlıyoruz” diye konuştu.
‘RAPORLAMADA EYLEME GEÇİRİLEBİLİR İÇGÖRÜLER SUNMASI, BU İŞ İÇİN AYRILAN BÜTÇENİN VERİMLİLİĞİNİ ARTIRIYOR’
Siber tehdit ortamının daima geliştiğini, siber saldırganların yapay zeka gibi araçlarla çok daha hızlı hareket edebildiğini vurgulayan Privia Security Siber Güvenlik Takım Lideri Mamak, değerlendirmelerini şu ifadelerle sonlandırdı:
“Ölçeği günden güne artan bir tehdit ortamında işletmelerin bu dinamizme uyum sağlayabilecek teknoloji ortaklarıyla çalışması da önem kazanıyor. Sızma testi hizmeti alınan danışmanlık şirketinin işletmenin tüm dijital varlıklarını en güncel saldırı vektörleriyle test etmesi, siber saldırganların ve kurbanların davranış biçimlerine dair derin bilgi birikimine sahip olması ve raporlamada eyleme geçirilebilir içgörüler sunması, bu iş için ayrılan bütçenin verimliliğini artırıyor. 2018’den bu yana güçlü, tecrübeli ve yetenekli ekibiyle kurumlara özel sızma testi hizmetlere sunan Privia Security, hem akademik perspektifte sahip olduğu bilgi birikimi hem de sahada edindiği deneyimlerle, hizmet sunduğu tüm alanlarda başarısını kanıtlamış bir teknoloji ortağı olarak 7 gün 24 saat hizmet anlayışıyla çalışmayı sürdürüyor.”