Uygulama ve Ağ Katmanı Testleri

Payment Card Industry Data Security Standard (kısaca PCI DSS) çatısı altındaki kurumların sahip olduğu yazılım uygulamalarının sızma testi süreçlerinde kontrol edilmesi gereken katmanların ikisi Uygulama ve Ağ katmanıdır. Bu yazılımlar kurumun başka bir şirkete yaptırdığı veya kendi özel bünyesinde hazırladığı uygulamalar olabilir.

Sızma testlerinde tespit edilen zafiyetler, güvensiz uygulama tasarımından ya da güvensiz kodlama uygulamaları kullanılmasından kaynaklandığı gibi yazılımın yanlış veya güvensiz uygulanmasından ayrıca kullanılan uygulamalarının bakım veya güncelleme eksikliklerinden de kaynaklanabilmektedir. Card Data Holder Environment (kısaca CDE) bünyesinde tutulan hassas bilgilerin saldırganlar tarafından ele geçirilmesini önlemek için bu zafiyetleri önceden tespit edip, kapatma işlemini yapmak için sızma testi yaptırmak bu sebeple çok önemlidir.

Uygulama katmanında tespit edilen zafiyetlerin kapatılması için güvenli bir şekilde tasarlanmayan kodun tekrardan tasarlanmasını, Ağ katmanında tespit edilen zafiyetlerin kapatılması ise yazılımın tekrardan tasarlanması bazen de güvensiz yazılıma güvenli parçaların entegre edilmesi ile çözülebilmektedir.

Kimlik Doğrulama

Özel kimlik doğrulaması gerektiren uygulamalarda farklı roller üzerinde sızma testleri yapılmalıdır. Kart verilerine erişimi yetkisine sahip admin kullanıcısı, standart uygulama kullanıcısı ve admin yetkisine sahip olmayan ancak uygulama yazılım süreçlerinde yer alan personel kullanıcısı gibi roller üzerinde yapılan sızma testleri, kişilerin şahsi ve kart bilgilerine erişim sağlanamadığının kanıtlanmasında kesinlikle yapılması gereken bir test metodudur. Örnek olarak standart uygulama kullanıcısının başka bir uygulama kullanıcısının bilgilerine erişebildiği IDOR (Insecure Direct Object Reference) zafiyeti kritik bir zafiyettir ve bu zafiyetin tespit edilebilmesi için sızma testi yapacak olan ekibe standart uygulama kullanıcısı da atamak gerekmektedir. Bu konuda Certby, uzman sızma testi ekibi ile kritik zafiyet tespiti konusunda oldukça hassas ve derin inceleme süreci yürütmektedir.

PA-DSS

Ödeme kuruluşuna ait uygulamaları daha önceden Payment Application Data Security Standard tarafından doğrulanmışsa sonrasında fonksiyonel test için tekrar doğrulama gerekmez ancak uygulama içerisindeki manuel testlerin (kimlik doğrulama, anahtar yönetimi vb.) yine de yapılması gerekmektedir.

Web Uygulamaları

Web uygulamaları içerisinde her zaman özel olarak tasarlanıp yazılmış kodların bulunmaması yaygın bir olaydır. Örnek olarak içerisinde web tabanlı bir e-posta uygulaması veya dosya paylaşım araçları kullanılabilir. Bu tip durumlarda uygulama, bu hizmetlerin yazılımlarından sorumlu değildir. Bu sebeple uygulama katmanında herhangi bir teste gerek yoktur ancak ağ katmanında yapılacak olan testler önemlidir. İçeride kullanılan hizmetlerin doğru ve güvenli bir şekilde uygulanıp uygulanmadığı, gereksiz hizmetlerin kapalı tutulduğu veya kullanılan hizmetlerin sürüm bilgilerinin güncel olduğu kontrol edilmelidir.

Ayrı Test Ortamı

Sızma testlerinin doğası gereği kimi zaman uygulamaları yavaşlatacak veya sistemi aksatabilecek olan yöntemler uygulanmaktadır. Hassas uygulamalarda bu yöntemler kuruma ve son kullanıcıya zarar verebileceğinden testlerin, gerçek üretim ortamındaki uygulamanın birebir aynısı olan test ortamında yapılması kurum için daha iyi bir yöntemdir. Bu süreçte sızma testi yapacak olan şirket test ve gerçek uygulamanın özdeş olduğundan emin olduktan sonra test sürecini sağlıklı ve güvenli bir şekilde yürüttükten sonra test ortamında tespit edilen zafiyetlerin gerçek üretim ortamında hızlıca kapatılması gerekmektedir.

 

Certby, sahip olduğu yetkin ve tecrübeli ekibiyle size PCI DSS süreçleri için gerekli sızma testlerinde oldukça hassas ve güvenli bir yol izleyerek sızma testi hizmeti vermektedir.