Penetrasyon Testi (pentest) terimi, İngilizce “Penetration Test” kavramının kısaltması ve Türkçe karşılığı Sızma Testi’dir. Penetrasyon testi; firmaların bilişim sistemlerini oluşturan altyapı, donanım, yazılım ve uygulama gibi bileşenlere bir saldırganın izlemesi öngörülen teknikler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanımıyla ilgili sistemlere sızılması, tespit edilen zafiyetlerin nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.
Karıştırılan İki Terim: Zafiyet Analizi ve Penetrasyon Testi
Zafiyet Analizi (Vulnerability Assessment) sektörde sıklıkla duyulan ve birçok kişi tarafından penetrasyon testi ile karıştırılan bir terimdir. Zafiyet analizi, otomatik tarama araçları (Nessus, Acunetix vb.) ile ilgili sistemlerdeki güvenlik açıklıklarının bulunması için yapılan bir testtir ve çalışma kapsamı penetrasyon testine göre daha sınırlıdır. Gerçekleştirilen testin amacı ilgili firmanın bilişim sistemlerinin güncel güvenlik durumu hakkında bilgi sahibi olmaktır. Öte yandan penetrasyon testinde ise, sistemler üzerinde tespit edilen zafiyetler istismar edilir.
Penetrasyon Testi Yaklaşımları
Penetrasyon – Sızma testleri yaklaşım türüne göre 3 farklı şekilde gerçekleştirilir:
- Kara Kutu (Black Box) Yaklaşımı
- Beyaz Kutu (White Box) Yaklaşımı
- Gri Kutu (Gray Box) Yaklaşımı
Black box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında herhangi bir bilgi verilmez. Bu yaklaşımdaki asıl amaç ilgili sistem hakkında hiçbir bilgi sahibi olmayan saldırganın sisteme verebileceği zararların görülmesidir. Test süresi diğer yaklaşımlara göre en uzun olan yaklaşımdır.
White Box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında tüm bilgiler testi gerçekleştirecek ekip ile paylaşılır. Bu yaklaşımdaki asıl amaç ise eski ve mevcut çalışanların ilgili sistemlere verebileceği hasarın tespit edilmesidir. Test süresi diğer yaklaşımlara göre en kısa olan yaklaşımdır.
Grey Box: Siyah ve beyaz kutu yaklaşımlarının arasında kalan bu yaklaşımda ise penetrasyon testleri kapsam dahilindeki sistemler hakkında detaylı bilgilendirme alınmadan gerçekleştirilir. Bu yaklaşımdaki amaç ise düşük yetkili kullanıcıların sistemlere verebileceği zararların tespitidir. Test süresi olarak beyaz kutu yaklaşımından daha uzun, siyah kutu yaklaşımına göre daha kısadır.
Neden Pentest – Sızma Testi Yapılmalı?
Gelişen teknoloji ile birlikte firmalarda bilişim sistemlerinin kullanımı her geçen gün artmakta. Artan kullanım ile birlikte siber güvenlik tarafında dikkat edilmesi gereken unsurlar da artmaktadır. Firmaların bilişim sistemlerinin güvenliğinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımıdır.
Penetrasyon (Sızma) Testi’nin Kurumlara Faydaları
- Oluşabilecek güvenlik açıklıklarının düzeltilmesi için harcanacak insan gücünün azaltılması,
- İş sürekliliğinin bozulmasına neden olabilecek kesintilerin engellenmesi,
- Yasal zorunluluklara (PCI-DSS, ISO27001, HIPAA vb.) uyum,
- Bilişim Teknolojileri kaynaklı risklerin azaltılması,
- Firma imajının ve güvenilirliğinin korunması.
Pentest (Sızma Testi) Yaptırırken Dikkat Edilmesi Gerekenler
- Pentesti gerçekleştirecek firmanın objektif ve müşteri için en doğru çözümleri verebilecek bir firma olması.
- Pentresti kapsamının ne olduğu; sadece iç ağ mı, uygulamalar mı yoksa tüm altyapı mı?
- Pentest sırasında gerçekleştirelecek çalışmalar. (Hizmet engelleme saldırıları (DoS), Sosyal mühendislik saldırıları vb.)
- Pentestin ne sıklıkla tekrarlanacağı.
- Pentestin İnternet üzerinden mi yoksa kuruma ait iç ağda mı gerçekleşeceği.
Penetrasyon (Sızma) Testi Sonrasında Oluşturulacak Raporda Olması Gerekenler
- Yönetici ve teknik çalışanlar için hazırlanmış raporlar,
- Tespit edilen zafiyetlere ait ekran görüntüleri ve detaylı bilgi,
- Tespit edilen güvenlik açıklarının nesnel yöntemlere göre gruplanarak değerlendirilmesi,
- Tespit edilen güvenlik açıklarının nasıl giderileceğine dair teknik bilgi ve referanslar,
- Test sırasında tespit edilen kritik seviye zafiyetlerin pentesti gerçekleştiren firma tarafından anında bildiriliyor olması.
Penetrasyon (Sızma) Testi hizmetlerimiz hakkında ayrıntılı bilgi almak ister misiniz? Lütfen iletişime geçiniz.