Sızma testleri (Penetrasyon Testleri), kurumların siber savunmalarını saldırgan gözüyle test etmesini sağlar. Yapılan bu testlerde Active Directory sızma testi çok önemlidir. Çünkü AD (Aktif Dizin), kurumsal kimlik ve erişim yönetiminin kalbidir. Büyük veri ihlallerinde saldırganların ilk hedefi genellikle AD olur; zira bir “Domain Admin” yetkisiyle tüm sistem kontrol altına alınabilir.
Bu yüzden günümüzde yapılan sızma testlerinde, Active Directory (AD) yani kurumun kullanıcı ve bilgisayar yönetim sistemi özel olarak ele alınmalıdır. Testin ilk aşamasında, sistemin nasıl yapılandırıldığını anlamak için DNS ayarları, bilgisayar ve kullanıcı kurallarını içeren GPO listeleri ve herkesin erişebildiği paylaşımlar gibi bilgiler toplanır. (GPO’yu kısaca, “kurum içindeki bilgisayarların nasıl davranması gerektiğini belirleyen kurallar” olarak düşünebilirsiniz.)
Sonraki adımda, sistemdeki zafiyetler aranır. Örneğin, zayıf güvenlik protokolleri ile ayarlanmış servis hesapları ya da daha önce keşfedilmiş güvenlik açıkları kullanılarak sistemde daha yüksek yetkilere sahip olunmaya çalışılır. Bunu bir çalışanın hesabından yöneticinin hesabına geçmek gibi düşünebiliriz.
Yetki alınması sağlanırsa saldırgan, ağ içinde başka bilgisayarlara geçiş yapabilir. Bu da tıpkı bir binada odadan odaya geçmek gibi, sistemden sisteme atlayarak daha fazla bilgiye ulaşmak anlamına gelir.
Son aşamada ise, sistemde kalıcı kalmak için bazı arka kapılar bırakılabilir. Örneğin, bilgisayar kurallarına gizlice bir ayar eklenerek saldırganın tekrar sisteme girmesi sağlanabilir.
Tüm bu adımlar, detaylı bir sızma testi raporunda belirtilir. Bu rapor, sadece teknik bulguları değil, aynı zamanda yöneticilere yönelik risk değerlendirmesini ve çözüm önerilerini de içerir. Böylece kurumlar, hangi açıkların öncelikli olarak kapatılması gerektiğini net bir şekilde görebilir.
Peki savunma nasıl olmalı? Öncelikle NTLMv1 gibi eski protokoller kullanılmamalı, LSASS koruması aktif hale getirilmelidir. Domain Admin hesapları sadece güvenli makinelerde kullanılmalıdır. Güçlü şifreleme, 2FA, MFA zorunlu kılınmalıdır. Ayrıca olay günlükleri merkezi bir SIEM sistemine yönlendirilerek anomali tespiti yapılmalıdır.
Unutulmamalı ki AD ele geçirildiğinde, VPN erişimi gibi kritik erişimler dahi etkisiz hale gelir. Bu yüzden, en az yılda bir kez AD odaklı sızma testi yapılmalı; çünkü güçlü görünen bir yapı, test edilmediği sürece sadece varsayımsal olarak güvenlidir.