Sızma Testi Safhaları (Koordinasyon – 2)
Sızma Testi hazırlıkları esnasında 1.Safha olan koordinasyon işlemlerinin genel yapısını bubağlantıdakiyazımızda incelemiştik. Şimdi ise, yine toplantı esnasında görüşülecek konulardan bir tanesini detaylı olarak inceleyeceğiz.
Bahsettiğimiz koordinasyon işlemleri içerisinde bulunan Kapsamın tespiti esnasında, hizmet alan firmanın amacını ortaya çıkarabilmek için hizmet veren güvenlik firması bazı sorular sorar. Aşağıda, yapılacak testin tipine göre sorulabilecek soruları açıklayacağız. Hizmet alacak firma, toplantı esnasında meydana gelebilecek belirsizliklerin önüne geçmek maksadıyla, bu sorulara verilecek cevaplar konusunda koordinasyon toplantısı öncesinde hazırlık yapmalıdır.
Ağ Testi
- Firma, sistem elemanlarına neden ağ testi yaptıracak?
- Ağ testi, bir standardın yerine getirilmesi zorunluluğundan mı yaptırılıyor?
- Firma, testin aktif olarak hangi zaman dilimlerinde yapılmasını daha uygun buluyor?
- Mesai saatlerinde mi?
- Mesai saatleri dışında mı?
- Hafta sonlarında mı?
- Toplam kaç IP adresi test edilecek?
- Test edilecek dahili ağ IP adres sayısı nedir?
- Test edilecek harici ağ IP adres sayısı nedir?
- Test edilecek Ağ topolojisi içerisinde Firewall, IPS / IDS veya Yük Dengeleyici sistem var mı?
- Sisteme giriş gerçekleştirilebilirse, testi yapan ekip nasıl hareket edecek?
- Giriş sağlanan sistemde yerel zafiyet taraması gerçekleştirilecek mi?
- Giriş sağlanan sistemde en yetkili kullanıcı olmak için çalışılacak mı?
- Giriş sağlanan sistemde parolaları elde etmek için sözlük saldırıları gerçekleştirilecek mi?
Web Uygulama Testi
- Kaç adet uygulama için test yapılacak?
- Kaç adet oturum açma sistemi test edilecek?
- Kaç adet statik sayfa için test yapılacak?
- Kaç adet dinamik sayfa için test yapılacak?
- Testi yapılacak uygulamanın kaynak kodları verilecek mi?
- Uygulamaya ait herhangi bir doküman verilecek mi?
- Cevap evet ise, bu dokümanlar nelerdir?
- Uygulama üzerinde statik analizler yapılacak mı?
- Talep edilen diğer konular nelerdir?
Kablosuz Ağ Testi
- Sistemde kaç adet kablosuz ağ var?
- Bunlardan hangileri test edilecek?
- Sistemde, misafir kullanımı için kablosuz ağ var mı?
- Kablosuz ağların kriptolama teknikleri nelerdir?
- Misafir ağlara bağlı kullanıcılar test edilecek mi?
- Kablosuz ağların yayın mesafeleri nedir?
- Bu kablosuz ağları ortalama kaç kişi kullanıyor?
Fiziksel Güvenlik Testleri
- Test edilecek mekan sayısı ve yerleri nelerdir?
- Test edilecek mekan, başka birimlerle ortak kullanılıyor mu?
- Mekanda kaç kat var?
- Bulunan katlardan hangileri kapsama dahildir?
- Mekanda, geçilmesi gereken güvenlik görevlileri var mı?
- Görevlileri teçhizat durumları ve yetkileri nelerdir?
- Güvenlik hizmeti, 3.taraf bir firmadan mı alınıyor?
- Mekanın kaç girişi mevcut?
- Video kayıt güvenlik önlemi var mı?
- Testi yapacak ekip, video kayıt cihazlarına erişimi test edecek mi?
- Alarm sistemi var mı?
Sosyal Mühendislik Testi
- Sosyal Mühendislik testleri için e-posta adres listesi verilecek mi?
- Sosyal Mühendislik testleri için telefon numaraları listesi verilecek mi?
- Sosyal mühendislik sonucu sisteme fiziksel olarak giriş yetkisi veriliyor mu?
Yukarıda belirtilen testlerle ilgili sorular genişletilebilir. Tecrübelere dayanarak farklılaştırmak da mümkündür.