SIZMA TESTİ (PENETRATION TESTING) NEDİR?
Anlaşılan karşılıklı kurumlar arasında sızma testi hizmeti verilir iken bilişim sistemlerinin mantık hatalarını ve güvenlik açıklıklarını tespit ederek art niyetli kişi, kişiler, kurum veya kurumlar tarafından istismar edilebilmesini önlemek ve sistemleri daha güvenilir hale getirebilmek maksadıyla, alanında uzman ve deneyimli kişiler tarafından etik ve ahlaki dayanaklara bağlı kalınarak gerçekleştirilen güvenlik testlerinin bütünüdür. Sızma testi çalışmalarındaki başlıca amaç, güvenlik açığını tespit etmekten öte ilgili açığın sisteme zarar veremeyecek şekilde güvenlik açıklığının istismar edilebilmesi ve yetkili erişimler elde etme deneme girişimleridir. Girişimlerin bütünlüğündeyse saldırgan bakış açısıyla güvenlik açıklıklarına ve mantıksal hatalara yaklaşılır. Sızma testinin gerçekleştirilmesinde üç farklı tür yer alır. Bunlar; siyah kutu, gri kutu ve beyaz kutudur.
Siyah Kutu (Black Box), test işlemleri gerçekleştirilir iken kurum hakkında hiçbir bilgi elde varolmaz ve ekip çalışmalarıyla erişilmeye çalışılır.
Beyaz Kutu (White Box), karşılıklı anlaşılan kurumlar arasındaki düzenekler ve yapılandırmalar hatta kullanılan teknolojiler hakkında bir dizi bilgiler bilinir, bilindiğindendir ki sızma testinde tehdit oluşturmadan testler gerçekleştirilir.
Gri Kutu (Gray Box), hem beyaz hem siyah tarafı kapsamaktadır. Beyaz kutudan farkıysa detaylı bilgilerden -sistemin arka planında halihazırda çalışan güvenlik test ekibi kapsamı, içerikleri ve kullandıkları teknolojilerin detayı vb.- ziyade versiyon bilgileri, IP bilgileri, ARP tablosu ve IP tablosu bilgileri vb. bilgilere sahip olunur ki haliyle siyah kutuya da böylelikle yakınlaşır.
Mevcut kullanımda tutulan bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Sonuçta kurumlar bünyesinde ne kadar güvenliğe dikkat ederse etsin saldırganların, sistemi istismar etmek için kullanacağı tekniklerin sınırı yoktur. Bilgi ve birikim seviyelerine göre izinsiz erişilme ihtimalleri değişmektedir. Güvenlik önlemleri alınır iken gözden kaçma ihtimali az da olsa vardır ve yadsınmaması hatta aksatılmaması gerekmektedir. Bu sebeplerdendir ki bilgisayar korsanlarının saldırılarına mağruz kalmadan kurum güvenliğinin etik beyaz şapkalı bilgisayar korsanlarına test ettirilmesi gerekmektedir. Ek olarak PCI, HIPAA benzeri standartlar da sızma testi hizmetlerini yaptırmayı zorunlu kılmaktadır. Yakın zamanda alınan sıkı kararlar gereğinde KVKK ve Sızma (Pentest) zorunluluğuyla firmalar mutlaka sızma testi hizmetleri almaya başlamalıdır.
Değerli vaktinizi ayırıp yazımı okuduğunuz için teşekkürlerimi takdim ederim ve iyi günler geçirmeniz dileklerimle.