Sızma (Penetrasyon) Testi Nedir?

Sızma (Penetrasyon) Testi Nedir?

Penetrasyon (pentest) terimi, İngilizce “Penetration Test” kavramının kısaltması ve Türkçe karşılığı Sızma Testi’dir. Sızma testi; firmaların bilişim sistemlerini oluşturan altyapı, donanım, yazılım ve uygulama gibi bileşenlere bir saldırganın izlemesi öngörülen teknikler kullanılarak yapılan saldırı ve müdahaleler sonucunda güvenlik açıklarının tespit edilip bu zafiyetlerin kullanımıyla ilgili sistemlere sızılması, tespit edilen zafiyetlerin nelere sebep olabileceğinin incelenmesi ve sonuçların raporlanmasıdır.

Karıştırılan İki Terim: Zafiyet Analizi ve Sızma Testi

Sızma testinin yanı sıra Zafiyet Analizi (Vulnerability Assessment) de sektörde sıklıkla duyulan ve birçok kişi tarafından pentest kavramıyla karıştırılan bir terimdir. Zafiyet analizi, otomatik tarama araçları (Nessus, Acunetix vb.) ile ilgili sistemlerdeki güvenlik açıklıklarının bulunması için yapılan bir testtir ve çalışma kapsamı Pentest’e göre daha sınırlıdır. Gerçekleştirilen testin amacı ilgili firmanın bilişim sistemlerinin güncel güvenlik durumu hakkında bilgi sahibi olmaktır. Öte yandan sızma testinde ise, sistemler üzerinde tespit edilen zafiyetler istismar edilir.

Sızma Testi Yaklaşımları

Sızma testleri yaklaşım türüne göre 3 farklı şekilde gerçekleştirilir:

  • Kara Kutu (Black Box) Yaklaşımı
  • Beyaz Kutu (White Box) Yaklaşımı
  • Gri Kutu (Gray Box) Yaklaşımı

Black box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında herhangi bir bilgi verilmez. Bu yaklaşımdaki asıl amaç ilgili sistem hakkında hiçbir bilgi sahibi olmayan saldırganın sisteme verebileceği zararların görülmesidir. Test süresi diğer yaklaşımlara göre en uzun olan yaklaşımdır.

White Box: Bu yaklaşımda sızma testinin gerçekleştirileceği sistem hakkında tüm bilgiler testi gerçekleştirecek ekip ile paylaşılır. Bu yaklaşımdaki asıl amaç ise eski ve mevcut çalışanların ilgili sistemlere verebileceği hasarın tespit edilmesidir. Test süresi diğer yaklaşımlara göre en kısa olan yaklaşımdır.

Grey Box: Siyah ve beyaz kutu yaklaşımlarının arasında kalan bu yaklaşımda ise penetrasyon testleri kapsam dahilindeki sistemler hakkında detaylı bilgilendirme alınmadan gerçekleştirilir. Bu yaklaşımdaki amaç ise düşük yetkili kullanıcıların sistemlere verebileceği zararların tespitidir. Test süresi olarak beyaz kutu yaklaşımından daha uzun, siyah kutu yaklaşımına göre daha kısadır.

Neden Sızma Testi Yapılmalı?

Gelişen teknoloji ile birlikte firmalarda bilişim sistemlerinin kullanımı her geçen gün artmakta. Artan kullanım ile birlikte siber güvenlik tarafında dikkat edilmesi gereken unsurlar da artmaktadır. Firmaların bilişim sistemlerinin güvenliğinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımıdır.

Sızma Testi’nin Kurumlara Faydaları

  • Oluşabilecek güvenlik açıklıklarının düzeltilmesi için harcanacak insan gücünün azaltılması,
  • İş sürekliliğinin bozulmasına neden olabilecek kesintilerin engellenmesi,
  • Yasal zorunluluklara (PCI-DSS, ISO27001, HIPAA vb.) uyum,
  • Bilişim Teknolojileri kaynaklı risklerin azaltılması,
  • Firma imajının ve güvenilirliğinin korunması.

Sızma Testi Yaptırırken Dikkat Edilmesi Gerekenler

  • Sızma testini gerçekleştirecek firmanın objektif ve müşteri için en doğru çözümleri verebilecek bir firma olması.
  • Sızma testi kapsamının ne olduğu; sadece iç ağ mı, uygulamalar mı yoksa tüm altyapı mı?
  • Sızma testi sırasında gerçekleştirelecek çalışmalar. (Hizmet engelleme saldırıları (DoS), Sosyal mühendislik saldırıları vb.)
  • Sızma testinin ne sıklıkla tekrarlanacağı.
  • Sızma testinin İnternet üzerinden mi yoksa kuruma ait iç ağda mı gerçekleşeceği.

Sızma Testi Sonrasında Oluşturulacak Raporda Olması Gerekenler

  • Yönetici ve teknik çalışanlar için hazırlanmış raporlar,
  • Tespit edilen zafiyetlere ait ekran görüntüleri ve detaylı bilgi,
  • Tespit edilen güvenlik açıklarının nesnel yöntemlere göre gruplanarak değerlendirilmesi,
  • Tespit edilen güvenlik açıklarının nasıl giderileceğine dair teknik bilgi ve referanslar,
  • Test sırasında tespit edilen kritik seviye zafiyetlerin pentesti gerçekleştiren firma tarafından anında bildiriliyor olması.

Sızma testleri hizmetlerimiz hakkında ayrıntılı bilgi almak ister misiniz? Lütfen iletişime geçiniz.