Virtual penetration testing with phase based vulnerability analysis

Abstract

Kurumlarda açıklık bulma çalışmaları açıklık taramaları, sızma testleri ve elle kontroller yapılarak icra edilmektedir. Ancak, bu yöntemlerin zaman, doğruluk, testi yapan kişilerin yetenekleri gibi çeşitli kısıtları bulunmaktadır. Sanal sızma testinin amacı bu kısıtları azaltmaktır. Sanal sızma testi ile açıklık taramalarında bulunan açıklıklara denk gelen güvenlik kontrollerinin test edilmesi ve test sonucunda elde edilen veriler ile açıklıkların korelasyonu amaçlanmaktadır. Bunun sonucunda, yapılan korelasyon, istismar edilebilir açıklıkların tespit edilmesine ve açıklıkların daha güvenilir bir şekilde önceliklendirilmesine imkân sağlayacaktır. Güvenlik tedbirlerinin testleri siber saldırıda yer alan fazlara göre yapıldığından, elde edilen veriler ile saldırı yolları ortaya çıkarılabilecektir. Sanal sızma testlerini gerçekleştirmek amacıyla siber saldırı modeli ortaya konmuş ve deney ortamı oluşturulmuştur. Deneyde, bulunan açıklıklara denk gelen güvenlik kontrolleri saldırı fazlarına göre test edilmiştir. Deney sonucunda, sanal sızma testlerinin kullanılmasıyla açıklık taramaları ve sızma testlerinde bulunan kısıtların azaltılabileceği gözlemlenmiştir.

Vulnerability scanning, penetration testing, and manual auditing are ways of finding vulnerabilities in organizations. However, they have some limitations like time, accuracy, testers' ability, etc. Virtual penetration testing aims to alleviate these limitations. By virtual penetration testing, it is intended to assess security controls corresponding to the vulnerabilities found by vulnerability scanning, and correlating assessment result with vulnerabilities. Consequently, correlation will enable to find exploitable vulnerabilities and to make a reliable prioritization between the vulnerabilities. Since security control assessments are done in compliance with the cyber-attack phases, obtained results provide opportunity to create possible attack paths. In order to realize virtual penetration testing, a generic cyber-attack model is proposed and an experiment lab is established. In the experiment, security controls, corresponding to the attack phases, are tested. As a result of experiment, it is observed that, limitations of vulnerability scanning and penetration testing can reduced by using virtual penetration testing.