Penetrasyon (Sızma) Testi Sonrası Log Analizinin Önemi – Örnek Vaka

Giriş

Bu yazının içeriğinde genel olarak sızma testi sonrasında log kayıtlarının analizinin sağlayacağı faydalara ve neden gerekli olduğu konusunda karşılaşılan örnek bir vakaya değinilecektir.

Penetrasyon (Sızma) Testi Nedir ?

Bilişim sistemlerinde bulunan hata ve zafiyetlerin kötü niyetli kişi/kişiler tarafından istismarını engellemek amacıyla gerçekleştirilen güvenlik testlerine denilmektedir. Gerçekleştirilen sızma testleri sayesinde işletmeler sistemlerini daha güvenli bir hale getirmektedir. Sızma testlerinde yetkili uzmanlar bir saldırgan gibi hareket eder ve sistemin açıklarını, risklerini tespit ederek yetkili erişimler elde etmeye çalışırlar. Sonrasında ise gerçekleştirilen işlemler ve tespitler raporlanarak sunulur.

Örnek Vaka

Karşılaşılan bir vaka da önemli bir işletme, sızma testi yaptırır. Test sonrası raporda tespit edilen zafiyetler ve bu zafiyetlerin istismarı sonucu elde edilen bilgiler önemli olduğu için işletme sistemlerinde daha önceden gerçekleştirilen herhangi bir yetkisiz erişim olup/olmadığının tespiti için log kayıtlarının analizini isterler. Bunun içinse özellikle web sunucu log kayıtlarını ve ilgili sitenin dosyalarının tamamını gönderir. (Son 6 yılın log kayıtları ortalama 90 GB txt dosyası)
Log kayıtlarında yapılan inceleme sonucunda; uzun zamandır başarılı bir şekilde gerçekleşen sayısız saldırı tespit edilir. Ayrıca web uygulamasında ki zafiyetlerden faydalanılarak sisteme yüklenen çok sayıda shell dosyası bulunur. Bu shell dosyalarının özellikle farklı dizinler altında yedeklenerek saklandığı tespit edilir.
Log kayıtları incelendiğinde saldırganın zaman zaman doğrudan bu shell dosyalarının bulunduğu dizinlere giderek veritabanında yer alan verileri belirli periyodlarda çektiği anlaşılır. Akabinde tüm bunların yanında kodlar arasına yerleştirilmiş bir hacklink bulunur.

Olayı bu şekilde kısaca özetledikten sonra gelin isterseniz sızma testi sonrası log kayıtlarının analizinin önemine kısaca değinelim.

Log Kayıtları Analizi Neden Önemli ?

Aslında log kayıtlarının analizi pentest sonrası değil sürekli yapılması gereken bir işlemdir. Fakat bu yazının bu şekilde hazırlanmasının sebebi pentest testleri sonrası işletmelerin kendilerini güvende hissetmeleri ve zafiyetlerinin olmadığı yönünde bir algı oluşmasıdır.

Özetle örnek vakamızdan yola çıkarak değinmemiz gereken noktaya gelecek olursak;

  • Pentest işleminde tespiti yapılamayan birçok zafiyet log kayıtlarından tespit edilebilir. Bu nedenle düzenli ya da en kötü pentest sonrası yapılacak log analizi sızma testinde tespit edilemeyen birçok bilgiyi verebilir. Bu bilgilere istinaden önlemler&tedbirler alınabilir.
  • Örnek vakada ki işletmenin geçmiş yıllarda ve şu an yapmış olduğu pentest testlerinin güvenlik noktasındaki katkısı tartışmaya açıktır. Zira daha öncede sistemde bulunan açıklıklardan faydalanılarak veritabanı yıllarca başkaları tarafından ele geçirilmiştir.

Sonuç

Düzenli olarak log kayıtlarının analizi mutlaka işletmeler tarafından gerçekleştirilmelidir. Yapılamadığı takdirde ise pentest sonrası mutlaka log kayıtlarının analizi içinde hizmet alınmalıdır.

Site Footer