PTES Metodolojisi: 7 Aşamalı Sızma Testi Standardı

Hızlı cevap: PTES (Penetration Testing Execution Standard), bir sızma testinin baştan sona nasıl yürütüleceğini tanımlayan, sektörce kabul görmüş yedi aşamalı bir standarttır. Aşamalar şunlardır: ön mutabakat (pre-engagement), istihbarat toplama, tehdit modelleme, zafiyet analizi, sömürü (exploitation), sömürü sonrası (post-exploitation) ve raporlama. Amacı, gelişigüzel taramayı tekrarlanabilir, ölçülebilir ve iş etkisini kanıtlayan bir disipline dönüştürmektir.

Açık konuşalım: piyasada "pentest" diye satılan işlerin önemli bir kısmı, otomatik bir tarayıcıyı hedefe sürüp çıktıyı PDF'e çevirmekten ibaret. Bir tarama, bir liste üretir. Bir sızma testi ise bir iddiayı kanıtlar: "Bu zafiyet, gerçek bir saldırganın elinde şu varlığa şu zararı verir." PTES tam da bu farkı kurumsallaştıran ortak dildir. Tarayıcının "muhtemel" dediği yere, testçinin "kanıtlanmış" demesini sağlayan disiplindir.

DSET olarak, 2003'ten beri yürüttüğümüz sızma testlerinde PTES'i bir kontrol listesi gibi değil, bir düşünme çerçevesi gibi kullanırız. Çünkü standardın asıl değeri, en çok atlanan iki aşamasında saklıdır: tehdit modelleme ve sömürü sonrası. Bu yazıda yedi aşamayı tek tek, sahadan örneklerle açıyoruz.

PTES nedir ve neden bir "ortak dil"e ihtiyaç var?

PTES, 2009 yılında deneyimli sızma testi uzmanları tarafından, sektördeki kalite uçurumunu kapatmak için başlatıldı. Sorun şuydu: iki farklı firmaya aynı kapsamı verdiğinizde, biri üç günde yüzeysel bir tarama raporu, diğeri iki haftada Active Directory ele geçirme zinciri sunuyordu. Müşterinin elinde ise bu iki çıktıyı karşılaştıracak hiçbir ortak ölçüt yoktu.

PTES bu kaosa yedi aşamalı bir iskelet getirdi. Standardın güzelliği, hangi aracı kullanacağınızı dikte etmemesidir. Nmap mı, Burp Suite mı, kendi yazdığınız bir betik mi kullanırsınız, sizin bileceğiniz iş. PTES "ne" ve "neden" sorusuna cevap verir, "hangi araçla" sorusunu uzmana bırakır. İşte bu yüzden yıllardır geçerliliğini koruyor.

Yedi aşamanın tek bakışta özeti

# Aşama Temel soru Tipik çıktı
1 Ön Mutabakat (Pre-engagement) Neyi, hangi sınırlarla, kimin izniyle test ediyoruz? Kapsam, ROE, yasal izin, hedefler
2 İstihbarat Toplama Saldırgan dışarıdan ne görür? OSINT raporu, varlık envanteri, saldırı yüzeyi
3 Tehdit Modelleme Hangi varlık değerli, hangi saldırgan gerçekçi? Varlık öncelik haritası, saldırgan profili
4 Zafiyet Analizi Hangi zafiyetler gerçekten var ve doğrulandı? Doğrulanmış zafiyet listesi (yanlış pozitif elenmiş)
5 Sömürü (Exploitation) Zafiyet gerçekten istismar edilebiliyor mu? İlk erişim, çalışan exploit kanıtı
6 Sömürü Sonrası Bu erişim işe ne kadar zarar verir? Lateral hareket, yetki yükseltme, crown jewels erişimi
7 Raporlama Yönetim ve teknik ekip ne yapmalı? Yönetici özeti, teknik bulgular, remediation planı

1. Ön Mutabakat (Pre-engagement Interactions)

Hiçbir paket yakalanmadan, hiçbir port taranmadan önce bu aşama biter. Burada konuşulan tek şey kelimedir, kod değil. Yine de testin başarısını ya da hukuki felaketini belirleyen aşama tam olarak budur.

Ön mutabakatta dört şeyi netleştiririz. Birincisi kapsam (scope): hangi IP blokları, hangi alan adları, hangi uygulamalar dahil, hangileri kesinlikle hariç. İkincisi katılım kuralları (Rules of Engagement, ROE): test ne zaman yapılacak (mesai içi mi, gece mi), hangi teknikler yasak (örneğin DoS, sosyal mühendislik, fiziksel giriş), bir kritik sistem çökerse acil durum iletişimi kim. Üçüncüsü hedefler: müşteri uyum (compliance) damgası mı istiyor, yoksa "AD'mizi ele geçirebilir misiniz" sorusuna gerçek bir cevap mı arıyor. Dördüncüsü ve en önemlisi yazılı yasal izin: yetkilendirme belgesi olmadan atılan tek bir paket, sızma testi değil suçtur.

DSET olarak bu aşamayı asla telefonda kapatmayız. Kapsam ve ROE'yi imzalı bir belgeye döker, "hariç" listesini özellikle uzun tutarız. Sahada en çok yaşanan kriz, kapsam dışı bir sistemin yanlışlıkla etkilenmesidir; bunun önlemi iyi yazılmış bir ön mutabakattır.

2. İstihbarat Toplama (Intelligence Gathering)

Bu aşama, saldırganın gözünden kuruma bakmaktır. Henüz hiçbir kapıya vurmadan, dışarıdan ne kadar bilgi sızdığını ölçeriz. İstihbarat iki koldan ilerler.

Pasif keşif (OSINT): Hedefle doğrudan temas kurmadan, açık kaynaklardan bilgi toplama. Alan adı kayıtları (WHOIS), sertifika şeffaflık logları (crt.sh ile alt alan adı keşfi), DNS kayıtları, kurumsal e-posta formatları, sızdırılmış parola veritabanları, GitHub'a yanlışlıkla yüklenmiş API anahtarları, LinkedIn'den çıkarılan personel ve teknoloji yığını. Saldırgan burada hiç iz bırakmaz, çünkü hedefin sunucusuna hiç dokunmaz.

Aktif keşif: Hedefle doğrudan temas. Port tarama, servis ve sürüm tespiti, web teknolojisi parmak izi çıkarma, alt alan adı brute-force. Aktif keşif iz bırakır ve loglara düşer; bu yüzden gürültü seviyesini ROE'ye göre ayarlarız.

Bu aşamanın çıktısı bir saldırı yüzeyi haritasıdır. Sahada gördüğümüz en sık hata, istihbaratı küçümseyip doğrudan taramaya geçmektir. Oysa iyi bir OSINT çoğu zaman, bir exploit'ten daha hızlı içeri sokar. Unutulmuş bir test sunucusu ya da GitHub'da açıkta kalan bir kimlik bilgisi, en güçlü zafiyetten daha tehlikelidir.

3. Tehdit Modelleme (Threat Modeling)

İşte PTES'in en çok atlanan ama en değerli aşaması. Çoğu firma istihbarattan doğrudan zafiyet taramaya atlar. Biz atlamayız, çünkü tehdit modelleme olmadan yapılan test, "bulduğun her şeye ateş et" yaklaşımına döner. Bu da iş etkisi olmayan yüzlerce bulguyla dolu, okunmayan raporlar üretir.

Tehdit modelleme iki tarafı modeller. Birincisi varlık modelleme: kurum için gerçekte değerli olan ne? Müşteri veritabanı mı, ödeme altyapısı mı, kaynak kod deposu mu, Active Directory yönetici hesapları mı? Bunlara "crown jewels" (tacın mücevherleri) deriz. İkincisi saldırgan modelleme: bu kuruma kim, neden saldırır? Fırsatçı bir fidye yazılımı çetesi mi, rakip bir firma için çalışan hedefli bir saldırgan mı, içeriden bir çalışan mı? Saldırganın motivasyonu ve yeteneği, testin senaryosunu belirler.

DSET olarak bu aşamada müşteriyle aynı masaya otururuz. Çünkü en değerli varlığın hangisi olduğunu en iyi müşteri bilir, gerçekçi tehdidin kim olduğunu ise biz biliriz. İkisi birleşince test, rastgele bir tarama olmaktan çıkıp hedefe kilitlenmiş bir simülasyona döner.

4. Zafiyet Analizi (Vulnerability Analysis)

Burada zafiyetleri keşfeder ve, daha önemlisi, doğrularız. Anahtar kelime doğrulamadır. Otomatik tarayıcılar yanlış pozitif üretmekte ustadır: bir başlık (banner) görür, sürüm numarasına bakar, "bu sürümde CVE-XXXX var" der. Oysa o yama geriye taşınmış (backport) olabilir, o özellik kapalı olabilir, o yol erişilemez olabilir.

Zafiyet analizi, tarayıcının ürettiği ham listeyi alıp elle süzmektir. Her bulguyu, gerçekten var mı diye doğrularız. Web tarafında manuel test (örneğin bir SQL enjeksiyonunu zaman tabanlı sorgu ile teyit etme), ağ tarafında servis konfigürasyon incelemesi, kimlik doğrulama mekanizmalarının mantık analizi. Bu aşamanın sonunda elimizde "muhtemel" değil, "doğrulanmış" bir zafiyet listesi olur.

İç linkimiz tam burada anlam kazanır: süreci adım adım deneyimlemek isteyenler PTES süreç simülatörümüzü inceleyebilir.

5. Sömürü (Exploitation)

En çok ilgi çeken, ama aslında en yanlış anlaşılan aşama. Sömürü, doğrulanmış bir zafiyeti kullanarak hedefe gerçek erişim elde etmektir. Bir SQL enjeksiyonunu veritabanı kabuğuna çevirmek, bir dosya yükleme zafiyetini uzaktan kod çalıştırmaya taşımak, çalınan bir kimlik bilgisiyle oturum açmak.

Kritik içgörü şudur: "exploit ettim" demek, işin bittiği değil, başladığı andır. İlk erişim (initial access) bir kapıdır, hedef değil. Sahada disiplinli olmak burada başlar. Sömürü, ön mutabakattaki ROE sınırları içinde, kontrollü ve geri alınabilir biçimde yapılır. Üretim sistemini çökertecek bir exploit'i, etki kanıtlandıktan sonra agresifçe tekrar tekrar çalıştırmak amatörlüktür.

DSET olarak sömürüde her zaman bir "kanıt çıpası" (canary) bırakırız: erişimin gerçek olduğunu, yanlış pozitif olmadığını ispatlayan benzersiz bir işaret. Çünkü rapora "erişim sağlandı" yazmak kolaydır; bunu reddedilemez biçimde kanıtlamak ise profesyonelliğin ölçüsüdür.

6. Sömürü Sonrası (Post-Exploitation)

İşte raporun gerçek değerinin doğduğu aşama, ve PTES'in ikinci en çok atlanan halkası. İlk erişim sağlandı; peki bu ne anlama geliyor? Sömürü sonrası, "bir kapıyı açtım" cümlesini "kurumun en değerli varlığına şu yoldan ulaştım ve şu zararı verebilirim" cümlesine çeviren aşamadır.

Burada birkaç şey yaparız. Yetki yükseltme (privilege escalation): sıradan bir kullanıcıdan yöneticiye, oradan domain admin'e tırmanmak. Yatay hareket (lateral movement): ele geçirilen ilk makineden diğer sistemlere atlamak. Pivoting: erişilen bir makineyi köprü olarak kullanıp, dışarıdan erişilemeyen iç ağa sızmak. Kalıcılık (persistence): gerçek bir saldırganın sistemde nasıl kalıcı olabileceğini, kontrollü biçimde göstermek. Ve hepsinin amacı: crown jewels'a, yani tehdit modellemede belirlediğimiz tacın mücevherlerine ulaşıp iş etkisini somut olarak kanıtlamak.

Bir bulgunun şiddeti, teknik karmaşıklığında değil, iş etkisindedir. "XSS buldum" demek bir şeydir; "bu XSS zinciriyle bir yöneticinin oturumunu çalıp müşteri veritabanının tamamını dışarı aktarabildim" demek bambaşka bir şeydir. Sömürü sonrası, ikinciyi kanıtlayan aşamadır. Gerçek bir saldırgan senaryosunu uçtan uca görmek isteyenler için kırmızı takım (red team) saldırı simülasyonu hizmetimiz bu aşamayı en derin haliyle uygular.

7. Raporlama (Reporting)

Bütün testin tek somut çıktısı rapordur. Ne kadar zarif bir exploit zinciri kurarsanız kurun, kötü bir rapor onu görünmez kılar. PTES raporu iki kitleye birden hitap eder.

Yönetici özeti: Teknik olmayan karar vericiler için. Risk seviyesi, iş etkisi, bütçe gerektiren öncelikler. Buraya CVE numarası ya da payload yazılmaz; "bu açık kapatılmazsa müşteri verisi sızabilir, bu da KVKK cezası ve itibar kaybı demektir" yazılır.

Teknik bulgular: Güvenlik ve sistem ekipleri için. Her bulguda zafiyetin yeri, yeniden üretme adımları (PoC), kanıt, etki ve en kritik kısım: remediation, yani somut düzeltme önerisi.

Şunu açıkça söyleyelim: bir raporun değeri exploit'te değil, remediation'dadır. Müşteri zafiyetinizi alkışlamaz; onu nasıl kapatacağını öğrenince size güvenir. Yamanın hangi sürüme yükseltileceği, hangi konfigürasyonun değişeceği, hangi WAF kuralının yazılacağı net olmalı. Bulguları MITRE ATT&CK gibi bir çerçeveye oturtmak, kurumun savunma yatırımını doğru yere yönlendirmesini sağlar.

DSET'in PTES yaklaşımı

DSET olarak yedi aşamayı bir ritüel gibi değil, bir mühendislik disiplini gibi işletiriz. Ön mutabakatı imzalı yaparız, istihbaratı küçümsemeyiz, tehdit modellemeyi asla atlamayız, her zafiyeti doğrularız, sömürüyü ROE sınırında ve kanıtlı yürütürüz, sömürü sonrasında iş etkisini somutlaştırırız ve raporu remediation üzerine kurarız.

Sürecin ne zaman gerektiği, ne kadar sürdüğü ve fiyatlaması hakkında daha fazlasını sızma testi süreci yazımızda bulabilirsiniz. Bu işi kimin yaptığını merak edenler ise pentester nedir, nasıl olunur yazımıza göz atabilir.

Sık Sorulan Sorular (SSS)

PTES ile OWASP ve NIST SP 800-115 arasındaki fark nedir? PTES uçtan uca yedi aşamalı bir yürütme çerçevesidir ve genel bir sızma testinin tamamını kapsar. OWASP daha çok web uygulaması güvenliğine odaklanır (Testing Guide, Top 10). NIST SP 800-115 ise kurumsal bir teknik kılavuzdur. Pratikte bunlar birbirini tamamlar: PTES iskeleti verir, OWASP web tarafını derinleştirir, NIST kurumsal çerçeveyi sağlar.

PTES'in en çok atlanan aşaması hangisidir? Açık ara tehdit modelleme ve sömürü sonrası. Birçok firma istihbarattan doğrudan zafiyet taramaya atlar (tehdit modellemeyi atlar) ve ilk erişimde durur (sömürü sonrasını atlar). Oysa testin iş değeri tam olarak bu iki aşamada üretilir.

Bir sızma testinin tarayıcıdan farkı nedir? Tarayıcı bir olasılık listesi üretir; sızma testi bir iddiayı kanıtlar. Tarayıcı "bu sürümde zafiyet olabilir" der, testçi o zafiyeti istismar edip iş etkisini gösterir. PTES bu farkı disipline eden standarttır.

"Exploit ettim" demek testin başarılı olduğu anlamına gelir mi? Hayır. İlk erişim sadece bir başlangıçtır. Asıl soru, o erişimin işe ne zarar verdiğidir. Bir zafiyetin şiddeti teknik karmaşıklığıyla değil, crown jewels üzerindeki iş etkisiyle ölçülür. Bunu kanıtlayan aşama sömürü sonrasıdır.

Sızma testi raporunun en değerli kısmı neresidir? Remediation, yani düzeltme önerileri. Bulguları listelemek kolaydır; onları nasıl kapatacağını net biçimde anlatmak işin asıl değeridir. İyi bir raporda her bulgu, somut ve uygulanabilir bir çözüm önerisiyle birlikte gelir.

Kaynaklar

DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik, sızma testi, adli bilişim ve veri kurtarma alanında hizmet veriyor. Kurumunuz için PTES standardında bir sızma testi planlamak isterseniz: +90 536 662 38 09.