BDDK sızma testlerini zorunlu kıldıktan,hele hele bu testleri TUBITAK'ın yapacağını duyurduktan sonra uzun uzun tartışıldı bu karar.TUBITAK'ın kısıtlı personeli ve kaynaklarıyla 50'ye yakın bankanın sızma testlerini zamanında yapıp yapamaycağı düşünülmeden verilmiş,tepki çeken bir karardı. Tepki çekti çünkü güvenlik sektöründe sızma testi,eğitim,danışmanlık gibi hizmetler en fazla kazanç getiren hizmetler,ve bunu bir zorunluluk haline getirmek sızma testi için bütçe ayırmada pinti davranan bankalara bu kazançlı hizmeti satmayı kolaylaştıracaktı ancak BDDK bu testleri TUBITAK'ın yapacağını duyurarak sulanan ağızlara biber sürdü.Daha sonra yapılan değişiklikle sızma testi hizmetinin sektördeki diğer firmalardan da alınmasının önü açıldı zaten.
Tüm bu harala-gürele arasında bankalar testlerini tamamladılar,düzeltici faaliyet süreçleri bile tamamlandı neredeyse, BDDK nedense 1 yıl kadar sonra - 2 gün önce- bu konuda (buradan ulaşabileceğiniz ) bir genelge yayınlamaya karar verdi.
Biraz geç kalınmasının yanında,kısa ve aceleye getirilmiş bir havası var genelgenin.Okumadan önce, sızma testi yapabilecek firmalar için bir tanım-kriter-gereksinim (ne bileyim bir ISO 27001 sertifikası gereksinim olarak belirlenebilir,bu testi yaptıracağınız firma sizinle alakalı en kritik bilgilere sahip olacak, bu bilgileri nasıl saklaması gerektiğini bilmeli ve bunu göstermeli) var mı acaba diye merak ediyordum,olmadığını görünce de pek şaşırmadım. Şuan için sızma testi yaptığını iddia eden 10-15 firma var bunları da akredite etmeye kalkarlarsa listede hangi firmalar kalır acaba?
BDDK genelgesinde sızma testlerini temel sızma testleri ve detaylı sızma testleri olmak üzere ikiye ayırmış, bilişim literatürüne yeni kavramlar kazandırmış. Okudukça "temel sızma testi" adı verilen testin aslında "zaafiyet taraması" olduğunu anlıyorsunuz. Genelge temel sızma testi, sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar demiş ancak daha sonraki satırlarda kullanıcı bilgisayarları,sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırıları yapılması gereğinden bahsetmiş.Bunları okuduktan sonra ister istemez detaylı sızma testinde ne yapılacak acaba? diye merak ediyorsunuz ama genelge detaylı sızma testinin esaslarının daha sonra duyurulacağını söyleyip sizi merakınızla baş başa bırakıyor.
Kapsam konusu da bana kafa karıştırıcı geldi,3.1-i maddesi biraz yuvarlak olsa da "internet üzerinden erişilebilen" tanımıyla kapsamın sınırlarını biraz olsun belirlemiş ama 3.3 "Sistem Tespiti, Servis Tespiti ve Açıklık Taraması başlıklı" maddede zaafiyet taramasının "tüm bilgi sistemleri varlıkları"na uygulanacağı yazılı.
3.4-ii ile gerçekleştirilmesi beklenen faaliyetlerden biri olarak listelenen "Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi" maddesi ise ilk kez karşılaştığım için biraz garipsedim,laf olsun torba dolsun niyetiyle eklenmiş gibi geldi, e madem içerik filtreleme, DLP gibi çözümleri test ettiriyorsun, antivirüs-antispam çözümünü, IPS çözümünü, proxy'yi, zaafiyet tarayıcının da test ettir,bu ürünler de atlatılabilen atlatılırsa da bilişim altyapısının güvenliğinin tehlikeye girmesine neden olabilecek çözümler.İnsan yeter ki eleştirmek istesin,mutlaka birşeyler bulunur :)
BDDK Sızma Testi sonuçlarının takibi için bir de uygulama geliştirmeye başlamış 2010 yılından beri,son faaliyet raporunda uygulamanın .Net 2005'den .Net 2008'e ( BDDK .Net'i kendisine göre versiyonlamış anlaşılan) geçirileceği yazılmış,yeni c# versiyonu yayınlanmadan kullanıma alınır umuyorum.Beni asıl endişelendiren uygulamaya sızma testi hizmeti veren firmaların da erişebilecek olması. Uygulamayla ilgili çok detaylı bilgi yok şuan, mutlaka elektronik sertifika gibi yollarla erişim sağlanacaktır ama ülkedeki tüm bankalara ait zaafiyet raporlarının toplandığı merkezi bir alan da çok kritik öneme sahip olmalı,korunmalı.
Genelgenin doldurduğu en önemli boşluklardan biri Ek-1 ve Ek-2'de Bulgu Önem Dereceleri ve Bulgu Formatı için şablon oluşturması, özellikle Bulgu Formatı başarılı. Sızma testlerinde hemen hemen tüm bankalar aynı test noktalarını ve profillerini kullanıyor zaten.
Yazının başında da belirttiğim gibi biraz geç kalınmış ve eksik bırakılmış bir genelde olmasının dışında başlangıç için fena sayılmaz,devamının en kısa zamanda gelmesi bankacılık ve bilişim sektörleri için iyi olacaktır.
İlgili Yazılarım
Sızma Testi Nasıl Yapılmaz?
Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler
Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?
Sosyal Mühendislik'te İğneyi Kendine Batırabilmek
Hiç yorum yok:
Yorum Gönder