IT Sızma (Penetrasyon) Testi
Sızma (Penetrasyon) testi, IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve Siber Güvenlik tehditlerini önceden tespit etmek için kullanılan bir süreçtir. Sızma testi ile IT varlıkları test edilerek, bu varlıklar üzerinde bulunan açıklıklar tespit edilir. Bulunan açıklıklar ve bu açıklıkların giderilme yöntemleri de yine bu süreç dahilinde işlenir. Sızma testleri her bir varlık türüne göre senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek testin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihaz ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilmektedir. Sızma testlerinin temel olarak aldığı ulusal ve uluslararası metadolojik yaklaşımlar aşağıdaki gibidir.
- Ulusal Metadolojik Yaklaşımlar
- TSE (TS-13638)
- Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
- BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi
- Uluslararası Metadolojik Yaklaşımlar
- NIST 800-115
- OSSTMM (Open Source Security Testing Methodology Manual)
- ISSAF (Information Systems Security Assessment Framework)
- OWASP Testing Guide
- SCADA Methodology
Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan 3 ana yöntem kullanılarak testler uygulanır.
- Siyah Kutu (Black Box)
Bu yaklaşımda, başlangıçta güvenlik testi yapılacak sistemlerle ilgili bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir. Bu yöntemde test ekibinin sistem hakkında hiç bilgisi olmayacağından, yanlışlıkla sisteme zarar verme ihtimalleri bulunmaktadır. Bilgi toplama safhası oldukça zaman alır. Süre bakımından en uzun süren test yaklaşımıdır. - Gri Kutu (Gray Box)
Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi vb. Bilgiler güvenlik testi yapacak ekibe önceden sağlanır. Black Box yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur. - Beyaz Kutu (White Box)
Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski çok azdır.
Sızma (Penetrasyon) Testi Metadolojisi
CosmoPro Secure tarafından periyodik olarak gerçekleştirilecek sızma testleri sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir. Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir. Sızma testine ilişkin detaylar aşağıda yer almaktadır. IT varlıklarına yönelik sızma testi çalışmaları 5 farklı aşamadan oluşmaktadır. Bu aşamalar aşağıdaki grafikte de gösterildiği üzere sırasıyla aşağıdaki adımlardan oluşmaktadır;
Sızma Testi Başlangıç Toplantısı
Testin Gerçekleştirilmesi
Sızma Testi Raporunun Hazırlanması
Bulguların Sunumu
Doğrulama Denetimi
Acil Durum İrtibat Bilgilerinin Belirlenmesi
Acil durumlar her ne kadar istenmese de sızma testi sürecinde karşılaşılabilecek bir durumdur. Böyle durumlarda kiminle temasa geçeceğinin Müşteri ve CosmoPro Secure tarafından bilinmesi gerekir. Aşağıda yer alan örnek “Acil Durum İletişim Listesi” CosmoPro Secure tarafından hazırlanarak, test öncesinde Müşteri’ya teslim edilecektir. Ayrıca Müşteri tarafındaki acil durum sorumlularını belirlemek için aşağıda yer alan “Tablo-3: Müşteri Acil Durum İletişim Listesi” Müşteri’dan talep edilecektir.
CosmoPro Secure Acil Durum İletişim Listesi |
|||
Burak Çelik |
0500 000 00 00 |
burak.celik@ cosmoprosecure.com |
Müdür |
Ayşe Erdemli |
0500 000 00 00 |
ayse.erdemli@ cosmoprosecure.com |
Sorumlu |
Ahmet Gezer |
0500 000 00 00 |
agmet.gezer@ cosmoprosecure.com |
Personel |
Testlerin Gerçekleştirilmesi
Sızma testi, daha önce Müşteri ile yapılan “Sızma Testi Başlangıç Toplantısı”nda belirlenen senaryo dahilinde gerçekleştirilir. IT varlıklarına yönelik sızma testi aşağıdaki tüm başlıkları kapsayacak şekilde ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilir.
- Web Uygulamaları Sızma Testleri
- Etki Alanı Sızma Testleri
- İstemci Taraflı Sızma Testleri
- Veritabanı Sızma Testleri
- Network Sızma Testleri
- E-Posta – DNS Servisleri Sızma Testleri
- Kablosuz Ağ Sızma Testleri
- Servis Engelleme (DDoS) Testleri
- Sosyal Mühendislik ve Hedef Odaklı (APT) Sızma Testleri
- Güvenlik Duvarı Atlatma Testleri
- URL, İçerik Filtreleme ve Spam Gateway Ürünleri Atlatma Testleri
- Sanallaştırma Sistemleri Sızma Testleri
- Cloud Sistemlere Yönelik Sızma Testleri
Yukarıda belirtilen her varlığa ait sızma testleri aşağıda bulunan “Grafik-1: Test Metadolojisi”ndeki adımları içermektedir.
- Bilgi Toplama (Footprinting)
- Port Tarama – Servis Tespiti
- Zafiyet Tarama (Zafiyet Tespiti)
- Enumeration
- Exploitation (Sızma)
- Hak ve Yetki Yükseltme (Privilege Escalation)
- Post Exploitation (Sızıntı Sonrası)
- Yapılan İşlemleri Geriye Alma
- Raporlama
Testlerin Gerçekleştirildiği Erişim Noktaları
Sızma testinin gerçekleştirildiği asgari erişim noktaları aşağıdaki tabloda yer almaktadır.
Erişim Noktası |
Açıklama |
İnternet |
Kurumun internet üzerinden erişilebilen tüm sunucu ve servislerine yine İnternet üzerinden erişilerek gerçekleştirilen sızma testi biçimidir. |
Kurum İç Ağı |
Kurumun iç ağında yer alan ve test kapsamında ele alınan sunuculara Kurum iç ağı üzerinden erişilerek sızma testleri gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır. |
Lokasyon Ağı |
Kurumun yönlendirmesi ile belirlenecek lokasyonların sahip olduğu ağ altyapısına erişim sağlanarak, bu ağda bulunan sistemler, ağ altyapısı, ağ trafiği ve lokasyon üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. |
Testlerin Gerçekleştirildiği Kullanıcı Profilleri
Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilecektir.
Kullanıcı profili |
Açıklama |
Anonim Kullanıcı Profili |
İnternet üzerinden, Müşteri web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan sıradan kulllanıcıyı temsil eder. Kuruma ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek amacıyla bu profil kullanılır. |
Kurum Müşterisi Profili |
İnternet üzerinden, Müşteri web servislerine erişebilen ve web uygulamalarına özel giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde Kuruma ait web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek amacıyla bu profil kullanılır. |
Kurum Misafiri Profili |
Kurumun ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılır. |
Kurum Çalışanı Profili |
Kurum personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek amacıyla bu profil kullanılır. Kurum çalışanı profili ile gerçekleştirilecek testlerde, Kurum çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilebilir. Kurum çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa Kurum tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilir. |
Diğer Kullanıcı Profili |
Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir. |
Zafiyet Seviyelendirmesi
Sızma testi esnasında tespit edilen zafiyetler, sistemin güvenliğini tehdit ediş boyutları göz önünde bulundurularak seviyelendirilmiştir. Zafiyetlerin seviyelendirilmesinde aşağıdaki 5 seviye kullanılmıştır. Her bir seviye için gerekli açıklama ve zafiyet-seviye ilişkileri örneklerle aşağıdaki tabloda ele alınmıştır.
Zafiyet Seviyesi |
Açıklama |
Acil |
Sisteme uzaktan en yetkili kullanıcı (administrator veya root kullanıcı hakları ile) hakları ile bağlanılmasına imkân tanıyan zafiyetler bu kategoride değerlendirilir. Bu tür zafiyetler genellikle herhangi bir kullanıcı etkileşimine gerek kalmadan kötü niyetli kişiler tarafından kullanılabilirler. Penetrasyon testi kapsamındaki sunucular ve uygulamalar üzerinde bu seviyede bir zafiyete rastlandığında raporlama süreci beklenmeden ilgili sistem yöneticisine en hızlı şekilde haber verilir ve gerekli önlemlerin alınması sağlanır. Örneğin Windows sunucularda sistem hesabı ile çalışan bir serviste tampon taşması açığının olması gibi. Ayrıca incelenen sistem üzerinde bir arka kapı tespit edilmesi durumu da acil seviyesinde bir zafiyet olarak değerlendirilir. |
Kritik |
Bu seviyedeki zafiyetler ile uzaktan sistemler üzerinde en yetkili kullanıcı haricinde bir kullanıcı ile erişim (Administrator ya da root dışında bir kullanıcı ile) sağlanabilir. Bu tür bir zafiyetin kötü niyetli kişiler tarafından kullanılması durumunda zafiyetin olduğu sunucu üzerindeki dosyaların tamamına erişim sözkonusu olabilmektedir. Genellikle bu tür zafiyetlerin etkili olabilmesi için ilgili sistem üzerinde bir kullanıcı etkileşimine ihtiyaç vardır. Örneğin saldırganlar tarafından özel hazırlanmış bir uygulama dosyasının açılması ve uygulamadaki zafiyetin kullanılarak sistemin ele geçirilmesi gibi. |
Yüksek |
Bu seviyedeki zafiyetler sistemin saldırgan tarafından kötü amaçlar için kullanılmasına yol açabilir. Bu seviyede zafiyetlere örnek olarak dosya içeriklerinin bir bölümünün görüntülenmesi, sistem üzerindeki çeşitli dosyalara yetkisiz erişim, dizin içeriklerinin listelenmesi, filtreleme ve güvenlik ayarlarının açığa çıkması ve servislerin yetkisiz kullanılması (mail relay etme vb.) verilebilir. Bunun yanında, penetrasyon testi kapsamındaki sunucuların ve uygulamaların servis dışı kalmasına sebep olan DoS ve DDoS saldırılarıda bu kategoride değerlendirilir. |
Orta |
Bu seviyedeki zafiyetler sayesinde saldırganlar penetrayon testi kapsamındakı sunucular üzerinde çalışan sistem bileşenleri ve uygulamaların konfigürasyonlarına ilişkin kritik bilgilere ulaşabilirler. Bu bilgiler kullanılarak sistemin kısmen ya da tamamen ele geçirilmesi ya da kötü amaçlar için kullanılmasına imkân tanıyacak şekilde konfigüre edilmesi mümkün olabilir. Örneğin sistemler üzerinde çalışan servislerin ya da uygulamaların sürüm numaralarının öğrenilmesi ya da bu sistem veya uygulamaların konfigürasyon dosyalarına yetkisiz erişim bu türden zafiyetler olarak verilebilir. |
Düşük |
Bu seviyedeki zafiyetler ile saldırganlar penetrasyon testine dâhil sistemler hakkında bilgi edinebilirler. Örneğin sistemler üzerindeki açık TCP/UDP portların listesinin alınması gibi. |
Bilgi Toplama Evresi (Footprinting)
Bilgi toplama, kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir. İnternet üzerinden teknik (whois/dns sorguları) ve teknik olmayan (arama motorları, haber grupları, e-posta listeleri sosyal ağlar vb.) yöntemler kullanılarak, hedef kurum veya sistem hakkında bilgi elde edilebilir. Bu safhanın amacı mümkün olan her saldırı yolunu keşfederek hedef ve uygulamaların kapsamlı bir görünümünü elde etmektir. Bu sayede hedef üzerinde bilgi güvenliğiyle ilgili her vektörün test edilebilmesine olanak sağlanır. Bu adım metodolojinin genellikle göz ardı edilen ilk ve en önemli adımlarından biridir. Bu evrede elde edilen veriler kullanılarak, diğer tüm aşamalarda olabildiğince kapsamlı testler gerçekleştirerek ilerleme sağlanır. Bilgi Toplama Evresi 2 ayrı bölümden oluşmaktadır.
Pasif Bilgi Toplama
Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilmeden, hedef sistemler hakkında arama motorları vasıtasıyla bilgi toplanan evredir. Bu evrede Whois bilgileri, DNS kayıtları, kurum çalışanlarının mail adresleri gibi sızma testine yön veren bilgiler elde edilir. Bu evrede elde edilen bilgiler, sonraki evrelere yön verir.
Aktif Bilgi Toplama
Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilerek, hedef sistemler hakkında bilgi toplanan evredir. Bu evrede uygulama keşfi, sunucu başlık bilgileri, sürüm tespiti, DNS brute-force gibi sızma testine yön veren bilgiler elde edilir. Bu evrede elde edilen bilgiler, sonraki evrelere yön verir.
Port Tarama – Servis Tespiti Evresi
Bilgi Toplama Evresi’nin ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır. Bu evrede amaç; hedef sistemin muhtemel bir network topolojisinin üretmek ve network yapısında çalışan servislerin detaylandırılmasıdır. Bu aşamada, hedef sistem üzerinde port ve servis taraması, açık sistemlerin belirlenmesi, açık sistemler üzerindeki açık portların ve servislerin belirlenmesi, sistemler üzerinde hangi işletim sistemlerinin ve servislerin çalıştığının belirlenmesi, işletim sistemlerine, servislere ve uygulamalara ait versiyon bilgilerinin tespiti, sistemlerde kullanılan donanım/yazılımların ve versiyonlarının tespit edilmesi, Router, Firewall, IPS gibi ağ cihazlarının tespiti gerçekleştirilerek detaylı bir network haritası çıkarılır. Network haritalama bilgi toplama aşamasından elde edilen bilgilerin doğrulanmasına yardımcı olarak, hedef sistemler ile ilgili bir takım bilgilerin elde edilmesini sağlamaktadır.
Karşılaşılabilecek Sorunlar: Port taraması için IT varlıklarının 0-65535 arasındaki tüm portlarının taranması gerekmektedir. Varsayılanda gerçekleştirilen taramalarda tüm portlar kontrol edilmediğinden dolayı, bilinmeyen yada port bilgisi değiştirilen servisler tespit edilememektedir. Ayrıca sadece TCP portları değil, kurumda kullanılan tüm protokoller için benzer testlerin gerçekleştirilmesi gerekir.
Bu evrede karşılaşılabilecek bir diğer problem ise her sistem için hem tüm TCP hem de tüm UDP portların taranması oldukça zaman alacaktır. Bu sebeple ağın yavaş olması durumunda pentest takviminin uzamasına sebebiyet verebilir. Müşteri bünyesinde bulunan IT varlıklarına yönelik gerçekleştirilecek olan testlerin oluşturacağı yoğun trafik, ağın yavaşlamasına sebep olabilir.
Zafiyet Tarama (Zafiyet Tespiti) Evresi
Hedef sisteme ait bilgi toplama ve port tarama – servis tespitinin ardından, elde edilen bilgiler değerlendirilerek zafiyet taraması gerçekleştirilir. Bu evrenin amacı, daha önceden elde edilen bilgileri kullanarak zafiyetlerin varlığını teknik olarak değerlendirmektir. Zafiyet tanımlaması; network, sunucular, uygulamalar ve diğer bileşenlerdeki zafiyetleri bulmak için elde edilen verileri, çıkarılan network topolojisini değerlendirerek gerçekleştirilen güvenlik denetimini bir adım ileriye taşır. Bu aşamada hedef sisteme zarar vermeyecek şekilde zafiyetleri tanımlamak ve tanımlanan zafiyetleri bilinen istismarlarla sömürmek için çeşitli otomatize zafiyet tarama araçları kullanarak, taramalar gerçekleştirilebilir. Zafiyet tarama araçlarının ayarları ön tanımlı olarak kullanılmamakta ve hedef sisteme göre konfigüre edilmektedir. Tarama sonuçları Sızma Testi Ekibi tarafından değerlendirilerek false positive ve false negatif sonuçlar elenmektedir. Zafiyet tanımlaması ve analizi sonucunda hedef sisteme sızma yolları ve senaryoları belirlenmektedir.
Karşılaşılabilecek Sorunlar: Bu evrede Müşteri bünyesinde bulunan IT varlıklarına yönelik gerçekleştirilecek olan testlerin oluşturacağı yoğun trafik, ağın yavaşlamasına sebep olabilir. Ayrıca hedef sisteme uygun zafiyet aracının seçilmemesi durumunda zafiyetler doğru tespit edilemeyebilir. Bu sebeple taranan sisteme uygun zafiyet tespit aracının doğru seçimi önem arz etmektedir.
Enumeration Evresi
Bu evrede önceki adımlarda canlı olduğu tespit edilen sistemler üzerinde TCP/UDP port tarama işlemleri gerçekleştirilir. Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler “banner grabbing” olarak adlandırılan yöntem ile öğrenilir ve manuel testler ile bu bilgilerin doğruluğundan emin olunduktan sonra bu bilgiler ışığında zafiyet veritabanları taranır ve bilinen zafiyetler sonraki aşamalarda kullanılmak üzere not alınır.
Tespit edilen canlı sistemler içinde router, switch gibi aktif ağ cihazlarının yer alması durumunda bu cihazlar üzerinde çalışan işletim sistemleri, bu işletim sistemlerinin versiyonları, bu cihazlar üzerindeki servisler, yönlendirme protokolleri, yönetimsel amaçlı servisler ve versiyonları tespit edilmeye çalışılır ve bu bilgiler ışığında zafiyet veritabanında inceleme yapılarak sonraki aşamalarda kullanılmak üzere notlar alınır. Ayrıca bu cihazlar üzerinde koşan gereksiz servislerin, ön-tanımlı kullanıcı adı veya parola bilgilerinin ya da yönetim için kullanılan güvensiz protokollerin tespiti halinde, bu zafiyetler yapılandırma problemleri başlığı altında sızma testi raporuna yansıtılır.
Exploitation (Sızma) Evresi
Zafiyet Tarama ve Enumeration evlerinin ardından tespit edilen zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir. Hedef sistem üzerindeki güvenlik önlemleri aşılarak erişim elde edilmeye ve erişim mümkün olduğunda da (yani zafiyet sömürülebilir durumdaysa) bağlantı (reverse, bind) sağlanmaya çalışılır. Tespit edilen zafiyetlerin istismarı için uygun PoC kodları/araçları kullanılarak veya yazılarak, hedef sistemlere yönelik testler gerçekleştirilir. İstismar için kullanılacak olan exploit halka açık kaynaklardan elde edilmişse, hedef sistem üzerinde kullanılmadan önce klonlanmış ortamda test edilmekte ve hedef sisteme zarar verilecek işlemlerden kaçınılmaktadır.
Karşılaşılabilecek Sorunlar: Exploitation evresi bir servisin yada işletim sisteminn kendisine yönelik gerçekleştirileceğinden dolayı, işleyişi durdurabilme durumu söz konusu olabilmektedir. Kritik sistemlere yönelik gerçekleştirilecek exploitation işlemleri için Müşteri Güvenlik Ekibine bilgi verilecektir. Eğer mümkünse exploitation işlemi, sistemlerin klonları alındıktan sonra bu klon sistemlere doğru yapılmalıdır. Böylece herhangi bir hataya düşme durumunda canlı sistemde aksaklıklar yaşanmayacaktır. Ancak bazı sistemlerin (gömülü sistemler, etki alanı denetleyicileri, routerlar vb.) klonları alınamayacağından dolayı, exploitation işlemi Müşteri Güvenlik Ekibi tarafından onaylandıktan sonra gerçekleştirilecektir.
Zafiyet Tarama evresinde elde edilen zayıflıklar bu evrede doğrulanır. Eğer exploitation işlemleri gerçekleştirilmezse tespit edilen zafiyetler false-positive olabileceğinden, tüm bulunan zafiyetlerin mümkün oldukça doğrulanması (exploitation) tavsiye edilmektedir.
Hak ve Yetki Yükseltme (Privilege Escalation) Evresi
Erişim kazanmak bir sızma testinin odak noktasını oluşturur. Tespit edilen zafiyetler istismar edilerek, hedef sistem üzerinde erişim elde edilmeye çalışılır. Erişim elde etmek için hedef sistem üzerinde tespit edilen servislerde kullanıcı adı/parola kombinasyonlarının keşfi, sistem hesaplarına yönelik boş veya varsayılan parolaların bulunması, kullanılan uygulama ve donanım cihazlarının varsayılan ayarlarda bulunması gibi zafiyetler istismar edilebilir. Hedef sisteme düşük yetkilerde olsa dahi olsa diğer sistemlere sıçramak için erişim sağlandıktan sonra hak ve yetki yükseltilmeye çalışılır.
Hak ve yetki yükseltmek için erişilen hesap üzerinden çeşitli exploitler denenerek root, administrator, SYSTEM gibi yetkili kullanıcı profillerine geçilmeye çalışılır.
Evre Hakkında Önemli Not: Hak ve Yetki yükseltme evresinde, erişim sağlanan sistemde zararlı kodlar çalıştırılarak, sistemde bulunan güvenlik ürünleri de bu evrede test edilir. Örneğin düşük hak ve yetkilerle bir sisteme sızıldıktan sonra diğer sistemlere erişim elde etmek için gerek halka açık (public) zararlı kodlar gerekse de CosmoPro Secure tarafından Müşteri’ya özel geliştirilecek zararlı kodlar kullanılarak, hak ve yetkiler yükseltilmeye çalışılır. Bu işlemler sırasında anti-virüs, yerleşik güvenlik duvarı, exploit koruma yazılımları bypass edilerek, hak ve yetkiler yükseltilir.
Post Exploitation (Sızıntı Sonrası) Evresi
Bir sızma girişiminin belkide en önemli evrelerinden biri Post-Exploitation evresidir. İstismar sonrası safhasının amacı ele geçirilen sistemin değerinin belirlenmesi ve sistemin daha sonra kullanmak üzere denetiminin sürdürülmesidir. Sistemin değeri bu sistem üzerinde saklanmakta olan verilerin hassaslığı ve sistemin ağın ele geçirilmesi safhasında sağlayacağı fayda ile belirlenir. Bu safhada tarif edilen yöntemler sızma testi uzmanına, hassas verilerin belirlenmesi ve belgelenmesinde, konfigürasyon ayarlarının, iletişim kanallarının ve ağa daha ileri erişim elde etmek için kullanılabilecek olan diğer ağ aygıtlarıyla ilişkilerin belirlenmesinde ve daha sonraki bir zamanda sisteme erişimde kullanılabilecek bir ya da daha fazla yöntemin kurulmasında yardımcı olmayı amaçlar. Bu evrede hedef sisteme sızıldıktan sonra hedef sistem bir relay sunucu gibi kullanılır. Böylece ele geçirilen sistem üzerinden diğer sistemlere erişim denemeleri gerçekleştirilebilir. Ele geçirilen sistemde oturum açan kullanıcıların hesap bilgileri, geliştirilen yazılımlardaki gömülü parolalar elde edilerek, diğer sistemlere bu hesap bilgileriyle erişim sağlanır. Post-Exploitation evresinde en kritik sistemlerin (etki alanı, e-posta ve dns sunucuları gibi) yönetimlerinin ele geçirilmesi hedeflenir. Kritik sistemlerin ele geçirilmesinden sonra test süreci devam ettirilerek, diğer sistemlerdeki açıklıklar istismar edilerek, alternatif erişim yolları üzerinden kritik sistemler farklı yöntemlerle ele geçirilmeye çalışılır.
Evre Hakkında Önemli Not: Bu evrede güvenlik ürünlerinin ve IT – CSOC personellerinin reaksiyonları da ölçülür. Kritik sistemler ele geçirildikten sonra bir hesap oluşturularak yada mevcut bir hesabın yetkileri (Domain Admins, Enterprise Admins gibi) değiştirilerek, Müşteri tarafından anomalitinin tespit edilmesi ve bu anomalitiye karşı reaksiyon süresi hesaplanıp, raporlanır.
Yapılan İşlemleri Geriye Alma Evresi
Sızma testi sırasında birçok sistem üzerinde komutlar çalıştırılır ve yerel yada etki alanı hesapları oluşturulur. Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir. Sistemlerde oluşturulan ve geriye alınmayan işlemler, sistemin akışını bozarak başka riskler doğurabilir. CosmoPro Secure Sızma Testi Ekibi, gerçekleştirdiği tüm testlerde yapılan işlemleri geriye alarak, değiştirilen konfigürasyonların yada eklenen kullanıcıların hesaplarının silindiğine dair ekran görüntülerini (kanıt) nihai rapor içerisinde Müşteri’ya sunmaktadır.
Evre Hakkında Önemli Not: Testler sırasında birçok zararlı kod da sistemlerde çalıştırılmaktadır. Özellikle exploitation, privilege escalation ve post-exploitation evrelerinde bu kodlar kullanmaktadır. Test bitirilmeden önce zararlı tüm kodların sistemlerden temizlenmesi sağlanarak, herhangi bir sistemde arka-kapı kalmaması ve başka riskler oluşturmamasına özen gösterilir.
Raporlama Evresi
Gerçekleştirilen güvenlik denetiminden sonra takip eden 20 (yirmi) iş günü içerisinde biri yönetici diğeri teknik olmak üzere hazırlanan iki rapor şifreli halde Müşteri sorumlu personeline e-posta ile teslim edilir. Müşteri tarafından yazılı olarak istenmesi durumunda raporun matbu hali, üzerine “Gizli” ibaresi vurulmuş kapalı bir zarf içerisinde teslim edilir.
Teslim edilecek rapor aşağıdakileri içerir;
- Gerçekleştirilen güvenlik denetim çalışmasına ve bulgulara ilişkin yönetici özeti
- Test sırasında tespit edilen zafiyetlerin kritiklik seviyelerini, hangi sistemlerde bu zafiyete rastlandığını gösteren ve zafiyeti ortadan kaldırmaya yönelik çözüm önerilerinin bulunduğu zafiyet kimlik kartları
Teslim edilecek raporların yanında zafiyetlerin giderilip giderilmediğinin takibini kolaylaştırmak adına tespit edilen zafiyetlerin ve bu zafiyetlerin bulunduğu sistemlerin bilgisinin yer aldığı bir Excel dokümanı kuruma verilir ve doğrulama denetiminde bu dokümandaki bilgiler baz alınır.
Sızma testi sırasında birçok sistem üzerinde komutlar çalıştırılır ve yerel yada etki alanı hesapları oluşturulur. Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir. Sistemlerde oluşturulan ve geriye alınmayan işlemler, sistemin akışını bozarak başka riskler doğurabilir. CosmoPro Secure Sızma Testi Ekibi, gerçekleştirdiği tüm testlerde yapılan işlemleri geriye alarak, değiştirilen konfigürasyonların yada eklenen kullanıcıların hesaplarının silindiğine dair ekran görüntülerini (kanıt) nihai rapor içerisinde Müşteri’ya sunmaktadır.
Evre Hakkında Önemli Not: Testler sırasında birçok zararlı kod da sistemlerde çalıştırılmaktadır. Özellikle exploitation, privilege escalation ve post-exploitation evrelerinde bu kodlar kullanmaktadır. Test bitirilmeden önce zararlı tüm kodların sistemlerden temizlenmesi sağlanarak, herhangi bir sistemde arka-kapı kalmaması ve başka riskler oluşturmamasına özen gösterilir.
Sunum
Raporların tesliminden sonra istenmesi halinde kurum personeline, gerçekleştirilen sızma testine ilişkin özet mahiyetinde bir sunum yapılır. Bu sayede kurum personeli, sızma testini gerçekleştiren uzmanlarımızla test ile ilgili görüş alışverişinde bulunabilme imkânı kazanırlar.
Doğrulama Denetimi ve Kapanış
Sızma Testi raporunun teslimi ve sunumunun gerçekleştirilmesinin ardından CosmoPro Secure test ekibiyle Müşteri güvenlik ekibinin karşılıklı mutabık kalacakları bir tarihte, test ekibi tarafından tespit edilen zafiyetlerin Müşteri tarafından giderilip giderilmediği kontrol etmek adına bir doğrulama denetimi gerçekleştirilir. Doğrulama denetimi sonucunda yeniden ayrı bir rapor düzenlenmez, zafiyetlerin kapatılıp kapatılmadığına ilişkin bir excel hazırlanarak, kurum ile paylaşılır.
Sistemlerde Veri Güvenliği ve Kurum Haklarının Korunması
Aşağıdaki kurallar Sızma Testi faaliyetlerin ve Müşteri verilerinin riske maruz bırakılmaması için CosmoPro Secure ile karşılıklı olarak oluşturulacak bir kurallar kılavuzu olarak kullanılmalıdır. Önceden üzerinde anlaşılmadığı sürece Müşteri kendi altyapısı bakımından kritik olarak gördüğü servislerde, sızma testi ekibi gerçekleştireceği herhangi bir modifikasyon için Müşteri güvenlik ekibinden izin alarak, modifikasyon işlenini yapacaktır. Bu gibi servislerde yapılacak modifikasyonların maksadı Müşteri’ya bir saldırganın ne şekilde:
- Ayrıcalıklarını yükseltebileceğini,
- Belirli verilere erişim elde edebileceğini,
- Sistemlerin ele geçirilebileceğini,
- Güvenlik ürünlerinin atlatılabileceğini,
- Hizmet dışı kalmaya neden olabileceğini göstermektir.
Müşteri IT sistemlerinde konfigürasyon değişiklikleri dahil olmak üzere sisteme yönelik olarak uygulanan bütün modifikasyonlar raporlanacaktır. Modifikasyonun amaçlanan maksadına ulaşılmasından sonra mümkünse, tüm ayarlar bölüm “2.2.8 Yapılan İşlemleri Geriye Alma” evresinde belirtildiği gibi orijinal durumlarına döndürülecektir. Sızma testi sonrasında değişikliklerin listesi, tüm değişikliklerin geriye döndürüldüğünü gösterir ekran görüntüleriyle birlikte Müşteri güvenlik ekibinin görmelerine olanak sağlamak maksadıyla kuruma sunulacaktır. Orijinal durumlarına döndürülemeyen değişiklikler, başarılı bir şekilde orijinal durumuna döndürülen değişikliklerden açık bir şekilde ayrılarak, raporda nedenleriyle birlikte belirtilecektir. Sızma testi esnasında açığa çıkarılan herhangi bir özel ve/veya kişisel veri (parolalar ve sistem geçmişi dahil) sadece aşağıdaki durumlarda daha geniş kapsamlı izinler elde etmek veya testle ilgili diğer eylemleri uygulamak maksadıyla kullanılabilir.
- Elde edilen verilerin Müşteri ağına yapılacak bağlantının, bağlanılan sistemlerde arama ve analiz (mevcut tüm veriler ve konfigürasyonlar dahil) yapmak için kullanıcılacağı CosmoPro Secure tarafından gizlilik / iş sözleşmesiyle hukuki olarak garanti altına alınmaktadır.
- Parolalar (şifrelenmiş biçimleri dahil) nihai raporda bulunmayacaktır ya da raporun alıcılarının parolaları yeniden yaratamayacakları veya parolaları tahmin edemeyecekleri ölçüde maskelenecektir. Bu işlem parolaların ait olduğu kullanıcıların gizliliğinin korunması ve aynı zamanda parolalarla korunan sistemlerin bütünlüğünün muhafaza edilmesi maksadıyla yapılmaktadır. Ayrıca Müşteri test sonrasında elde edilen tüm kullanıcı parolalarını değiştirmeye zorlamakla yükümlüdür.
- Ele geçirilen sisteme erişimi sürdürmek maksadıyla kullanılan, sistemin normal çalışmasını etkileyebilecek olan herhangi bir yöntem ya da cihaz veya sistemden çıkarılması sistemde aksaklık nedeniyle durmaya neden olabilecek herhangi bir yöntem ya da cihaz Müşteri güvenlik ekibinden alınana yazılı / sözlü izin olmaksızın uygulanmayacaktır.
- Doğrulama raporundan sonra rapora dahil edilen, hassas veri (anlık ekran görüntüleri, tablolar, rakamlar) içeren tüm bilgiler veriyi kalıcı olarak kurtarılamayacak duruma getiren teknikler kullanılarak yok edilecektir.
- Verilerin yok edilmesinde kullanılan Müşteri’nın talep etmesi durumunda Müşteri sorumlu personeliyle paylaşılacaktır.
- Müşteri’dan önceden alınmış bir izin olmaksızın herhangi bir tür veri üçüncü taraflarla paylaşılmayacaktır.
- Test edilen ortamda sistemin önceden ele geçirilmiş olduğuna dair bir kanıt bulunursa, sızma testi uzmanlarının değerlendirmesi esnasında kaydedilen tüm veriler zamanlarıyla birlikte kaydedilir ve Müşteri’ya bildirilir.
- Müşteri tarafından özellikle yetki verilmedikçe hiçbir günlük silinemez veya değiştirilemez. Yetki verilmişse günlükler herhangi bir değişiklik öncesinde yedeklenecek ve yapılan değişiklikler raporda belirtilecektir.
Test Ekibinin ve Yüklenici Haklarının Korunması
Herhangi bir çalışmaya başlamadan önce her iki tarafın görev ve sorumluluklarının tam olarak anlaşılmasını sağlamak için Müşteri’ya aşağıdaki hususlar yazılı olarak bildirilecektir.
- Müşteri ve hizmet sağlayıcı arasında imzalanan sözleşme ve/veya iş açıklaması gereği teste tabi tutulan sistemler üzerinde yürütülen eylemlerin Müşteri adına ve onu temsilen CosmoPro Secure tarafından yapılacağı bildirilecektir.
- Testi gerçekleştirecek ekibin testler sırasında kullanıcığı disklerin ve bu disklerde yer alan verilerin tamamının şifreleneceği ve CosmoPro Secure çalışanlarıyla ardından Müşteri ve CosmoPro Secure Test ekibiyle 2 ayrı gizlilik sözleşmesi imzalanacaktır.
- Üçüncü bir tarafın sistemi ele geçirme girişimi tespit edildiğinde vakit kaybetmeksizin elde edilen verilerle birlikte Müşteri güvenlik ekibine bilgi verilecektir.
IT Sistemlerine Yönelik Gerçekleştirilen Güvenlik Testleri
Web Uygulama Güvenlik Testleri
Kapsam dahilinde Müşteri internet ve intranet ortamında yayın yapan web sunucuları ve web uygulamaları test edilecektir. Web uygulamalarının aşağıdaki zafiyet türlerine göre dayanıklılığı tespit edilmeye çalışılır.
- Bilgi Toplama (Information Gathering)
- Spider, Robots, Crawlers
- Search Engine Discovery/Reconnaissance (Arama Moturu Keşfi ve Arama Motorunun Kötüye Kullanımı)
- Identify Application Entry Points (Uygulama Girdi Noktalarının Tespiti)
- Web Application Fingerprint (Uygulama İzlerinin Tespiti)
- Application Discovery (Uygulamanın Keşfi ve Haritalama)
- Analysis of Error Codes (Hata Kodlarının Analizi)
- Yapılandırma Yönetimi Testleri (Configuration Management Testing)
- SSL/TLS Testing
- DB Listener Testing
- Infrastructure Configuration Management Testing (Altyapı Yapılandırma Yönetimi Testi)
- Application Configuration Management Testing (Uygulama Yapılandırma Yönetimi Testi)
- Testing for File Extensions Handling (Dosya Uzantılarını İşleme Testi)
- Old, Backup and Unreferenced Files (Eski, Yedeklenen ve Referanslanmayan Dosya Testleri)
- Infrastructure and Application Admin Interfaces (Altyapı ve Uygulama Yönetim Paneli Testi)
- Testing for HTTP Methods and XST (HTTP ve XST Metod Testleri)
- Yetkilendirme Testleri
- Credentials Transport Over an Encrypted Channel (Kimlik Bilgilerinin Şifreli Kanallar Üzerinden Taşınması Testleri)
- Testing for User Enumeration (Kullanıcı Hesaplarının Tespitine Yönelik Testler)
- Testing for Guessable (Dictionary) User Account (Kullanıcı Hesaplarına Yönelik Sözlük Saldırıları)
- Brute Force Testing (Kaba Kuvvet Testi)
- Testing for Bypassing Authentication Schema (Kimlik Doğrulama Şemasını Atlatma Testleri)
- Testing for Vulnerable Remember Password and PWD Reset (Savunmasız Parola Hatırlatma ve Parola Sıfırlama Testi)
- Testing for CAPTCHA
- Testing Multiple Factors Authentication (Çok Faktörlü Kimlik Doğrulama Testi)
- Oturum Yönetimi Testleri
- Testing for Session Management Schema (Oturum Yönetimi Şeması Testi)
- Testing for Cookies Attributes (Çerez Niteliklerinin Testi)
- Testing for Session Fixation (Sabit Oturum Testi)
- Testing for CSRF (CSRF – Siteler Arası İstek Sahteciliği Testi)
- Kimlik Doğrulama Testleri
- Testing for Path Traversal (Dizin Gezinme Testi)
- Testing for Bypassing Authorization Schema (Yetki Şemasını Atlatma Testi)
- Testing for Privilege Escalation (Hak ve Yetki Yükseltme Testi)
- Veri Değerlendirme Testleri
- XSS (Cross Site Scripting-Çapraz Site Betik Yönlendirme) Testleri
- Reflected XSS
- Stored XSS
- DOM Based XSS
- SQL Injection
- Blind SQL Injection
- Path Injection
- LDAP Injection
- Code Execution
- OS Code Execution
- XSS (Cross Site Scripting-Çapraz Site Betik Yönlendirme) Testleri
İstemci Tarafı Sızma Testleri
Gerçekleştirilecek testlerde opsiyonel olarak sunulan “İstemci Tarafı Sızma Testleri” kapsamında istemcilerin aşağıdaki zafiyet ve tehdit türlerine karşı ne kadar korunaklı olduğu tespit edilmeye çalışılır. Bu tehditlerin her biri için birer senaryo, testler öncesinde tanımlanır ve o senaryo adımları izlenerek (örneğin bir phishing mail oluşturulup, kullanıcılara gönderilerek) kullanıcıların bilgi güvenli konusundaki farkındalığı ölçülmeye çalışılır.
- Spear Phishing Saldırıları
- Browser Exploit’leri
- Fiziksel Güvenlik Tehditleri
Servis Dışı Bırakma Testleri
Bu kapsamda gerçekleştirilecek testler ile penetrasyon testi kapsamındaki sunucuların ve servislerin olası servis dışı bırakma saldırılarına karşı ne kadar korunaklı oldukları tespit edilmeye çalışılır. Kontrollü bir şekilde gerçekleştirilecek bu servis dışı bırakma saldırıları hem uygulama katmanında (L7) hem de network katmanında (L4) gerçekleştirilir.
Bu aşamada isteğe bağlı olarak aşağıdaki DoS türlerinin testleri gerçekleştirilir.
- SYN Flood
- HTTP GET/POST Flood
Veritabanı Zafiyet Testleri
Bu kapsamda veritabanı sunucularına yönelik güvenlik testleri gerçekleştirilir. Yapılan zafiyet taramaları sırasında veritabanları üzerindeki varsayılan konfigurasyondan kaynaklı zafiyetlerden eksik güncüllemelere, gereksiz yetki tanımlarından ön tanımlı şifrelerin tespitine kadar birçok veritabanı sistemlerine özel açıklıklar test edilir. Ayrıca diğer sistemlerden ele geçirilen konfigürasyon dosyaları içerisinde bulunan gömülü parolalar kullanılarak veritabanı sistemlerinin yönetimi ele geçirilmeye çalışılır.
Opsiyonel olarak sunulan bu test adımında veritabanlarına özel güvenlik taramaları gerçekleştirilir. Bu adım, veritabanına bir kullanıcı ile bağlanmayı yada MITM saldırısı yapmayı gerektirdiğinden dolayı çalışma öncesinde bir veritabanı kullanıcısının oluşturulmuş olması ve ilgili veritabanları üzerinde gerekli hakların bu kullanıcıya tanınmış olması gerekmektedir.
Kablosuz Ağ Sızma Testleri
Opsiyonel olarak sunulan bu test adımında kapsamındaki wireless sistemleri için asgari aşağıdaki güvenlik denetimleri gerçekleştirilir.
- WLAN Tanımlama ve Kapsama Haritası Çıkarma
- WLAN Şifre Tespiti ve Şifre Kırma
- WLAN Dinleme ve Araya Girme
- WLAN Zayıflık Tarama
Mobil Uygulama Testleri
Bu kapsam dahilinde mobil uygulamala zafiyetleri test edilerek raporlanır. Mobil uygulamaların şifre saklama, uygulama zayıflığı ve güvensiz iletişim testleri gerçekleştirilir. Bu kapsamda uygulanan testler aşağıda yer alan OWASP metadolojisi temel alınarak gerçekleştirilir.
OWASP TOP 10 Mobil Güvenlik Riskleri:
- M1: Improper Platform Usage – Yanlış Platform Kullanımı
- M2: Insecure Data – Güvensiz Veri
- M3: Insecure Communication – Güvensiz İletişim
- M4: Insecure Authentication – Güvensiz Kimlik Doğrulama
- M5: Insufficient Cryptography – Güvensiz Kriptografi
- M6: Insecure Authorization – Güvensiz Yetkilendirme
- M7: Client Code Quality Issues – İstemci Kodu Kalite Sorunları
- M8: Code Tampering – Trafiğin Arasına Girmek
- M9: Reverse Engineering – Tersine Mühendislik
- M10: Extraneous Functionality – Gereğinden Fazla İşlevsellik (Sistem Servisi Kullanma)
Etki Alanı ve İstemci Sistemleri
Gerçekleştirilecek denetimlerde “İstemci Taraflı Sızma Testleri” kapsamında etki alanı sistemleri ve istemcilerin, aşağıdaki zafiyet ve tehdit türlerine karşı ne kadar korunaklı olduğu tespit edilir. Bu tehditlerin her biri için birer senaryo, testler öncesinde veya sırasında Müşteri güvenlik ekibiyle birlikte kurum güvenlik prosedürlerine uygun olarak tanımlanır ve senaryo adımları izlenerek etki alanı dahilindeki sistemlerin testleri gerçekleştirilir.
- Kapsam dahilindeki etki alanının üyesi olan kullanıcıların ve etki alanında olmayan işletimin sisteminin varsayılan kullanıcılarına yönelik parola politikaları ve bu politikanın zayıflığı tespit edilerek kullanıcı hesapları ele geçirilmeye çalışılır.
- Etki alanında bulunan güncelleştilmeleri eksik olan ve ürün desteği sona ermiş sistemler tespit edilerek bu sistemler ele geçirilmeye çalışılır.
- Yetkisiz erişime imkân tanıyan dosya paylaşımları tespit edilerek, bu paylaşımlar ve paylaşımlardaki hassas veriler yoluyla hak yükseltme saldırıları gerçekleştirilir.
- Etki alanında bulunan ve ele geçirilen kullanıcı hesapları kullanılarak hak ve yetki yükseltme saldırıları uygulanarak, etki alanındaki diğer sistemler ele geçirilmeye çalışılır.
- Zararlı yazılım ve yetkisiz dosya çalıştırma işlemlerine karşı koruma politikaları kontrol edilir.
- Etki alanı içerisinde aktif veya pasif olarak kullanılan sistemler, servisler vb. tüm üçüncü parti uygulamalara ait zayıf ve ön tanımlı parola/hesap kullanımları tespit edilerek, bu sistemler ele geçirilmeye çalışılır. Ele geçirilen sistemler üzerinden elde edilen veriler kullanılarak hak ve yetki yükseltme saldırıyla diğer sistemler ele geçirilmeye çalışılır.
E-posta ve DNS Servisleri
Kapsam dahilinde etki alanı içerisinde yayın yapmakta olan DNS ve E-posta sunucularına yönelik sızma testleri gerçekleştirilir. DNS ve alt alan adları (subdomain, FQDN vb.) tespit edilir. Etki alanı içerisinde bulunan kullanıcılara ait e-posta adresleri tespit edilerek bu e-posta adreslerine basit parola denemeleri gerçekleştirilerek hesap bilgileri ele geçirilmeye çalışılır. Kapsam dahilinde POP, IMAP vb. şifresiz protokoller ve webmail servisleri kontrol edilir, spam gateway atlatma testleri gerçekleştirilir.
Sosyal Mühendislik Testleri
Kurum çalışanlarının bilgi güvenliği farkındalığını tespit etmek amacıyla Müşteri ile ortak belirlenen senaryolar kullanılarak, sosyal mühendislik saldırısı gerçekleştirilir. Müşteri tarfından belirlenen kişilere yönelik farklı senaryolarda sosyal mühendislik testleri gerçekleştirilir. Senaryonun amacı dışardaki bir saldırganın kurum çalışanlarına yönelik phishing (oltalama) saldırıları ile yetkisiz erişim elde edip edemeyeceği ve dışardan kurum yerel ağına dahil olunup olunamayacağı belirlenmektir.
Kurum çalışanlarının bilgi güvenliği konusundaki farkındalık seviyelerini ve sosyal mühendisliğe karşı direnç seviyelerini belirlemek amacıyla çalışanlara yönelik Sosyal Mühendislik testi gerçekleştirilir. Kurumun Bilgi Güvenliği Ekibi’nin belirlediği ve onayladığı senaryolar testte uygulanır.