Privia Security’den sızma testlerine ilişkin değerlendirme

Tahminler siber güvenlik ihlallerinin şirketlere maliyetlerinin ortalama 5 milyon dolara yaklaştığını gösterirken, siber güvenlik altyapılarının performansını değerlendirmek için kullanılan sızma testlerine de talep arttı. Küresel raporlar, sızma testlerinin 4 siber güvenlik ihlalinden yaklaşık üçünü engellemeye yardımcı olduğunu gösterdi.

cumhuriyet.com.tr

Yapay zeka gibi araçların benimsenme hızı ve potansiyeli, siber saldırganların etki alanlarını genişletirken, siber tehdit ortamını da daha riskli hale getirerek veri ihlallerini daha maliyetli kıldı. IBM tarafından yayımlanan Cost of Data Breach 2024 raporu, bu yıl bir siber güvenlik ihlalinin şirketlere ortalama maliyetinin 4,88 milyon doları bulduğunu gösterdi. 5 milyon dolara yaklaşan maliyetler, bulut dönüşümünde hız kazanan, yapay zeka gibi araçları iş süreçlerine entegre eden işletmelerin mevcut BT altyapılarının güvenlik seviyesini ölçmeyi de kritik konulardan birine dönüştürdü. Tüm bu gelişmeler, siber güvenlik ihlallerinin %72’sini engelleyebildiği bilinen ve BT sistemlerinin güvenlik kapasitesini ölçmenin endüstri standardı halini alan sızma testlerine (pentest) yönelik talebi artırdı. 

Konuyla ilgili değerlendirmelerini paylaşan Privia Security Siber Güvenlik Takım Lideri Anıl Mamak, “Ticaret savaşları, jeopolitik gerilimler, diplomatik kutuplaşmalar ve teknolojide görülen çığır açıcı ilerlemeler, siber güvenlik risklerini liderlerin ajandalarında ilk sıraya yerleştirdi. BT altyapılarının güvenlik açıklarını saldırganlardan önce tespit ederek 4 saldırıdan yaklaşık üçünü engellemeyi mümkün kılan sızma testleri, aynı zamanda operasyonel teknoloji ve nesnelerin interneti altyapılarının potansiyel risklerini açığa çıkarmakta da standarda dönüşen bir yöntem” dedi.

5 şirketten üçüne göre sızma testleri bulut güvenliği için kritik

Ponemon Enstitüsü tarafından ve proaktif güvenlik önlemlerini değerlendiren bir raporda, 5 şirketten üçünün, İngilizcede pentest veya penetration test olarak anılan sızma testlerini bulut güvenliği süreçlerinin kritik bir unsuru olarak değerlendirdiği görüldü. Telekomünikasyon, sağlık, finans ve enerji gibi, hassas verilerin yoğun olduğu, kritik sektörlerde faaliyet gösteren şirketlerin yeni teknolojileri çok hızlı benimsediğine dikkat çeken Anıl Mamak, “Benimsenen her yeni teknoloji; IT, OT ve IoT altyapıları için yeni riskleri de beraberinde getiriyor. Özellikle büyük ölçekli BT altyapılarına sahip işletmeler için internete bağlı her cihaz, bir güvenlik riskine dönüşebiliyor. 2018’den bu yana sızma testi ve Red Team çözümlerinde uzmanlaşan Privia Security olarak, TSE, SOME Rehberi, BDDK Sızma Testleri Genelgesi gibi ulusal; NIST, OSSTMM, ISSAF ve OWASP gibi uluslararası metodolojik yaklaşımları temel alarak, proje başlangıcında belirlediğimiz takvim dahilinde işletmelerin tüm teknoloji varlıklarını teste tabi tutuyoruz. Elde ettiğimiz sonuçları endüstri standardı yaklaşımlarla raporluyor ve şirketlerin güvenlik risklerini siber saldırganlardan önce tespit etmelerine aracılık ediyoruz” diye konuştu.

Sözlerine aşağıdaki yaşanmış örneği de ekleyen Mamak:

''Sızma testleri, olan veya oluşabilecek güvenlik zafiyetlerinin büyük bir sorun haline gelmeden önce tespiti konusunda faydalı bir yaklaşım. Bazen çok göz önünde olmayan bir cihaz tüm sistemin ele geçirilmesine sebep olabiliyor. Bunun örneklerini sızma testlerinde sıklıkla görüyoruz. Örneğin bir kurumda yaptığımız sızma testlerinde, kuruma ait kiosk cihazlarında çok basit ama tüm kurum ağını etkileyen bir zafiyet keşfetmiştik. Kiosk ekranlarında normalde sadece kullanılan uygulamanın görüntüsü olur ve işletim sistemine direkt erişmemiz engellenir. Sızma testi yaptığımız kuruma ait tüm kiosk’larda basit sayılabilecek bir tuş kombinasyonu ile işletim sistemi ekranına geçiş yapılabildiğini fark ettik ve işletim sistemine geçiş yaptığımızda kiosk’un kurulumunu yapan firmanın kiosk’a teamviewer bağlantısı ile uzaktan bağlandığını gördük. İşletim sistemi ekranına eriştiğimizde teamviewer ekranı açıktı. Buradan teamviewer bağlantı bilgilerini aldık ve kiosk’a direkt kurum ağına bağlı olmaya gerek kalmadan bağlandık. Bir Windows işletim sisteminde kullanıcı kimlik bilgilerini almanın birçok yöntemi var. Biz de bu yöntemlerden birini kullanarak kiosk’daki Windows’un yönetici hesabının kimlik bilgilerini elde ettik ve bu yönetici hesabının aynı zamanda kurum içerisindeki birçok sunucuda ve kuruma ait tüm kiosk’larda kullanıldığını tespit ettik. Bir kiosk’tan yola çıkarak kurumdaki tüm hesapları ele geçirebildik ve bu hesaplarla kurumdaki her sunucuya erişimimiz oldu. Sızma testinde tespit edilen bu zafiyet kiosk’u kullanan kötü niyetli herhangi biri tarafından da tespit edilebilirdi ve sonuçları kurum için çok ağır olabilirdi. Bizim zafiyeti tespit ettiğimiz kiosk kurumun içinde bile değildi. Kurum binasının dışında kurumun giriş kapısının yanındaydı ve herkes kullanabiliyordu. Bunun gibi sayısız örnek verebiliriz bizzat deneyimlediğimiz ve tespit ettiğimiz.''

“Konu sadece güvenlik değil, uyumluluk” 

PCI DSS ve HIPAA gibi küresel standartların, hassas veri barındıran finans ve sağlık gibi sektörlerde faaliyet gösteren büyük ölçekli şirketler için sızma testlerini zorunlu kıldığını dile getiren Anıl Mamak, “Güvenlik açıklarını tespit etmeye yönelik yetkilendirilmiş ve kontrollü bir saldırı simülasyonu anlamına gelen sızma testleri, ihlal risklerini ortaya çıkarmanın ötesinde, şirketlerin güvenlik postürlerini güçlendirmek ve yasal uyum gereksinimlerini karşılamak için de önemli bir gereksinime dönüştü. Yalnızca ihlal maliyetlerini değil, regülatif maliyetleri de göze almak istemeyen işletmeler, düzenli olarak sızma testi yaptırıyor. Sızma testi ve Red Team çözümlerinin yanı sıra SOC ve MDR ile EKS Scada alanlarında da uzmanlık geliştiren, Ar-Ge çalışmalarıyla ülkemize yerli siber güvenlik ürünleri de kazandıran Privia Security olarak, sosyal mühendislik testleriyle başlayan pentest sürecimiz DNS güvenliğine, web uygulamalarına, kablosuz ağlara, cloud altyapılarına ve sanallaştırma sistemlerine kadar uzanıyor. Toplamda sekiz evrede gerçekleştirdiğimiz testlerin sonunda işletmelerin siber güvenlik ekiplerini riskler konusunda bilgilendiriyor ve önlemler konusunda danışmanlık sağlıyoruz” diye konuştu.

“Sızma testi için doğru hizmet sağlayıcıyı seçmek önemli” 

Siber tehdit ortamının daima geliştiğini, siber saldırganların yapay zeka gibi araçlarla çok daha hızlı hareket edebildiğini vurgulayan Privia Security Siber Güvenlik Takım Lideri Anıl Mamak, değerlendirmelerini şu ifadelerle sonlandırdı: “Ölçeği günden güne artan bir tehdit ortamında işletmelerin bu dinamizme uyum sağlayabilecek teknoloji ortaklarıyla çalışması da önem kazanıyor. Sızma testi hizmeti alınan danışmanlık şirketinin işletmenin tüm dijital varlıklarını en güncel saldırı vektörleriyle test etmesi, siber saldırganların ve kurbanların davranış biçimlerine dair derin bilgi birikimine sahip olması ve raporlamada eyleme geçirilebilir içgörüler sunması, bu iş için ayrılan bütçenin verimliliğini artırıyor. 2018’den bu yana güçlü, tecrübeli ve yetenekli ekibiyle kurumlara özel sızma testi hizmetlere sunan Privia Security, hem akademik perspektifte sahip olduğu bilgi birikimi hem de sahada edindiği deneyimlerle, hizmet sunduğu tüm alanlarda başarısını kanıtlamış bir teknoloji ortağı olarak 7/24 hizmet anlayışıyla çalışmayı sürdürüyor.”