Sızma Testi metodolojileri çeşitli topluluklar, ilgili kurum ve kuruluşlar tarafından güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretilmesi için oluşturulmuş ve genel kabul görülmüş standartlardır.
Sızma testi ve güvenlik denetimleri için başlıca standartlar şunlardır;
• OWASP (Open Web Application Security Project)
• OSSTMM (The Open Source Security Testing Methodology Manual)
• ISSAF (Information Systems Security Assessment Framework)
• NIST SP800-115
• PTES (Penetration Testing Execution Standart)
• Fedramp
• OWASP (Open Web Application Security Project)
Bu kılavuz kurum ve kuruluşlara web uygulamalarının denetimi için; test uygulamaları, aşamaları ve kontrol listeleri gibi argüman ve programlar konusunda yardım etmek amacıyla yazılmıştır. Bu kılavuz mevcut pratik bilgiler ve geniş anlatımları ile örnek bir referans ve metodoloji olarak kullanılabilir. Bu çerçevede kuruluşların güvenilir ve güvenli bir yazılım oluşturmak için web uygulamalarını test etmelerinde yardımcı olur.
Owasp Foundation tarafından 2004 yılında “The OWASP Testing Guide v1” adı ile açık kaynak olarak ilk test rehberi kamuoyuna sunulmuştur.
2014 yılında yayınlanan ve web uygulama güvenliği üzerine en kapsamlı kaynak olan OWASP Test Rehberi v.4(The OWASP Testing Guide v4) adı ile yayınlanmıştır.
11 ana başlık altında değerlendirilen güvenli uygulama geliştirme ve güvenlik kontrol listesinden oluşmaktadır.
Bunlar;
1. Bilgi toplama
2. Yapılandırma ve Dağıtım Yönetimi Testi
3. Kimlik Yönetimi Testi
4. Kimlik Doğrulama Testi
5. Yetkilendirme Testi
6. Oturum Yönetimi Testi
7. Giriş Doğrulama Testi
8. Hata Giderme Testi
9. Zayıf Kriptografi Testi
10. İş Mantığı Testi
11. İstemci Tarafı Testi
• OSSTMM (The Open Source Security Testing Methodology Manual)
2001 yılının Ocak ayında ISECOM(Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır.
Anahtar bölümleri şu şekilde sıralanır.
1. Operasyonel Güvenlik Metrikleri
2. Güven Analizi
3. İş akışı
4. İnsan Güvenliği Testi
5. Fiziksel Güvenlik Testi
6. Kablosuz Güvenlik Testi
7. Telekomünikasyon Güvenlik Testi
8. Veri Ağları Güvenlik Testi
9. Uyum Mevzuatı
10. STAR (Güvenlik Testi Denetim Raporu) ile Raporlama
• ISSAF(Information Systems Security Assessment Framework)
Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır . Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir.Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.
• NIST SP800-115
Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunması ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilir.
Beş ana başlıktan oluşur. Bunlar;
1. Hedef Tanımlama ve Analiz Teknikleri
2. Hedef Güvenlik Açığı Doğrulama Teknikleri
3. Güvenlik Değerlendirme Planlaması
4. Güvenlik Değerlendirme Faaliyetleri
5. Test Sonrası Faaliyetler
• Penetration Testing Execution Standart (PTES)
Açık kaynak bir proje olan Sızma Testi Yürütme Standardı 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır.
Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:
1. Ön Sözleşme
2. İstihbarat toplama
3. Tehdit Modellemesi
4. Güvenlik Açığı Analizi
5. İstismar Süreci
6. İleri Sömürü Aşaması
7. Raporlama
• FedRamp Penetration Test Guidance
Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), Federal Bilgi Güvenliği Yönetimi Yasası’nın (FISMA) bulut bilişim hizmetlerine nasıl uygulandığını standartlaştırmak için oluşturulan ABD hükümet programıdır. İlk versiyonu 2015’te yayınlanan “FedRAMP PENETRATION TEST GUIDANCE” 2017 yılında ikinci versiyonunu yayınlamıştır. Fedramp ile bulut tabanlı hizmetlerin güvenlik değerlendirmesi, yetkilendirilmesi ve sürekli izlenmesi için standartlaştırılmış bir yaklaşım sunar. Bu rehber kuruluşlara, Sızma Testi’nin planlanması ve yürütülmesi ile ilgili bulguların analiz edilmesi ve raporlanması konusunda rehberlik sağlamaktır.
Ana bölümleri şunlardır:
1. Bilgi Toplama ve Keşif Aşaması
2. Web Uygulama ve Api Test Bilgisi Toplama ve Keşif Aşaması
3. Mobil Uygulama Bilgi Toplama ve Keşif Aşaması
4. Ağ Bilgi Toplama ve Keşif Aşaması
5. Sosyal Mühendislik Bilgi Toplama ve Keşif Aşaması
6. İç Ağ Bilgi Toplama ve Keşif Aşaması
7. İstismar Aşaması
8. İleri Sömürü Aşaması
9. Raporlama
