Penetrasyon testi, firmaların Bilişim Sistemleri’ni oluşturan altyapı, donanım, yazılım ve uygulamalara bir saldırganın izlemesi öngörülen yöntemler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanılarak sistemlere sızılmaya çalışılması, bu açıkların nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.
Zafiyet Analizi ve Penetrasyon Testi Arasındaki Farklar Nelerdir?
Penetrasyon Testi’nin yanı sıra Zafiyet Analizi de (Vulnerability Assessment) sık kullanılan bir terimdir, ancak ikisi farklı kavramlardır. Zafiyet Analizi, otomatik araçlar ile güvenlik zafiyetine sebep oluşturabilecek açıkların bulunması için yapılan bir testtir ve içeriği Penetrasyon Testi’ne göre daha sınırlıdır. Zafiyet analizi ile bu açıklar tespit edilir fakat herhangi bir şekilde doğrulaması gerçekleştirilmemektedir. Penetrasyon Testi’nde ise sistemler üzerinde açıklar tespit edilir ve bu açıklardan faydalanılarak sızma testleri gerçekleştirilmektedir.
Penetrasyon Testi 3 farklı şekilde yapılabilir;
- Kara Kutu (Black Box) Yaklaşımı
- Beyaz Kutu (White Box) Yaklaşımı
- Gri Kutu (Gray Box) Yaklaşımı
Black Box: Bu yöntemde sızma testini gerçekleştiren firma tarafından testin gerçekleştirileceği sistemle ilgili önceden herhangi bir bilgi temin edilmez. Bir saldırgan gözüyle sistemlere sızılmaya çalışılır.
White Box: Güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Bu metod ile önceden firmada çalışmış veya çalışmakta olan saldırganların saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi ve raporlanması amaçlanmaktadır.
Gray Box: White Box ile Black Box arasında olan bir sızma metodudur. Kapsam dahilindeki sistemlerin, sistemler hakkında detaylı bilgilendirme alınmadan test edilmesi hedeflenmektedir. Bu test ile firma içerisinde düşük yetkilere sahip kullanıcıların sistemlere ve firmaya verebileceği zararın test edilebilmesi amaçlanan hedefler içerisindedir.
Neden Penetrasyon Testi Yaptırmalıyım?
Firmanızın bilişim sistemleri güvenliğinin üçüncü bir göz tarafından denetlenmesi ve raporlanması proaktif güvenliğin ilk adımıdır.
Kuruluşunuza Faydaları
- Oluşabilecek güvenlik açıklarının düzeltilmesi için harcanacak insan gücünün azalması,
- Sistemlerde yaşanabilecek kesintilerin engellenmesi,
- Yasal zorunluluklara uyum,
- BT kaynaklı risklerinin azalması,
- Firma imajının ve güvenilirliğinin korunması.
Zorunluluk
- PCI-DSS, ISO27001, HIPAA vb. standartlar belirli periyotlarda penetrasyon testlerinin yaptırılmasını zorunlu koşmaktadır.
Penetrasyon Testi Yaptırırken Nelere Dikkat Edilmesi Gerekir?
- Testin kapsamının ne olacağı. Sadece iç ağı mı, uygulamaları mı yoksa tüm altyapıyı mı kapsadığı,
- Hizmet engelleme saldırılarının (DoS) yapılıp yapılmayacağı,
- Ne kadar sıklıkla yapılacağı,
- Yapılacak testlerin sadece İnternet üzerinden mi yoksa İntranet üzerinden mi gerçekleşeceği.
Yapılan Penetrasyon Testi Sonrası Oluşturulacak Rapor Kapsamı Neleri İçermelidir?
- Yöneticiler ve teknik çalışanlar için hazırlanmış raporlar,
- Açıklara ait ekran görüntüleri ve detaylı bilgi,
- Açıkların nesnel yöntemlere göre gruplanması ve derecelendirilmesi,
- Açıkların nasıl giderileceğine dair teknik bilgi ve referanslar,
- Test sırasında kritik seviye güvenlik açıklarının sızma testi yapan firma tarafından anında bildiriliyor olması,
- Hızlı kazanımlar.
Penetrasyon testi danışmanlık hizmetlerimiz hakkında daha fazla bilgi almak ister misiniz? Lütfen iletişim formumuzu doldurunuz.