Penetrasyon Testi, bilgisayar sistemlerine içeriden veya dışarıdan gelebilecek saldırıları görüp önlem almak ve sistemi güvende tutmak amacıyla planlanmış bir saldırı simülasyonudur. Penetrasyon Testi, sistemdeki güvenlik açıkları tespit etmeyi amaçlar. Güvenlik açıklarına örnek olarak yazılım hataları, tasarım kusurları ve ayrıca yapılandırma hataları dâhildir.
Penetrasyon Testinin amacı, personelin kötü niyetli ikinci bir kişi ile nasıl başa çıkacağını öğrenmesine yardımcı olmaktadır. Bu testler bir kuruluşun güvenlik politikalarının gerçekten etkili olup olmadığını incelemenin bir yolu olarak hizmet eder. Penetrasyon Testinin kuruluşlara birçok faydası bulunmaktadır. Bu faydalar şu şekilde özetlenebilir:
- Penetrasyon Testi ile sistemdeki en fazla risk alanı belirlenebilir. Bu sayede sistemde güvenliğin daha yoğun olması gereken alanlar ve ne tür yeni güvenlik yöntemlerine ihtiyaç duyulduğu hakkında fikir verebilir.
- Bu testler ile beraber sistem tasarımı yapan geliştiricilerin yazılımdaki açıkları fark etmesine ve sistem tasarımında hata payını düşürmesine yardımcı olur.
- Penetrasyon Testi ile hata payının indirgenmesiyle kuruluşun itibarı korunur.
- Sistemin saldırılara karşı düzenli test edilmesiyle beraber sistem güncel tutulur ve bazı yasal zorunluluklara uyum gereksinimleri de sağlanmış olur.
- Sistemin güvenliğinden sorumlu güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirilmiş olur.
- Olası saldırıların kuruluş bünyesinde yaratacağı hasar tespit edilmiş olur. Bu sayede önem sırası belirlenir, gerekli önlemler alınır.
- Testler sayesinde sadece dışarıdan gelen tehditler değil kuruluşun ağ ve sistemlerinde mevcut olan risk ve tehditler belirlenmiş olur.
- Bu testlerin düzenli yapılmasıyla beraber standartlara uyumluluk için veri toplayan denetleme ekiplerine uygun ve kullanılabilir veri sağlanmış olur.
- Kurumun güvenliğinin sağlanmasıyla beraber olası hata ve saldırılarda ortaya çıkabilecek maliyetler ortadan kaldırılmış olunur.
- Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlenir.
- Sistem güvenliği düzenli aralıklarla test edilerek son kullanıcılara ve diğer paydaşlara, verilerinin korunduğuna dair güvence verilir.
Risk Değerlendirmesi
Kuruluşun Penetrasyon Testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır. Risk değerlendirmesinde ele alınması gereken sistemler:
– Web siteleri, email sunucuları, uzaktan erişim platformları
– Haberleşme ve e-ticaret servisleri, hassas bilginin iletimi ve saklanması işlemlerini gerçekleştiren sistemler
– DNS güvenlik duvarı, parolalar, FTP, IIS ve web sunucuları
– Bağlantıların olduğu müşterilerin sistemleri
– Önemli üretim sistemleri
Özetlemek gerekirse Penetrasyon Testi, bir kuruluşun siber güvenlik açıklarının bulunması ve kuruluşların savunma mekanizmalarının kalitesinin etik olarak test edilmesinin kapsamlı bir yoludur. Bu noktada kuruluşlar sistem güvenliğine ne kadar dikkat etmeye çalışsalar da sisteme sızılacak envai çeşit teknik bulunmaktadır. Doğal olarak da sistemde bazı noktaların gözden kaçma olasılığı hep vardır. Bu sebeple Penetrasyon Testinin düzenli aralıklarla yapılması gerekmektedir. Özellikle kuruluşların belirli dönemlerinde Penetrasyon Testleri extra önem taşımaktadır. Bu dönemler şu şekildedir:
- Yakın zamanda sistem altyapısında veya uygulamalarında önemli yükseltmeler veya köklü değişiklikler yapıldığında,
- Yakın zamanda mekân değiştiren ve yeni bir ofise taşınma durumunda,
- Uygulamada güvenlik yamaları olması durumunda,
- Yakın zamanda son kullanıcı politikaları değiştirilmiş ise
Ayrıca, sızma testlerinden elde edilen kapsamlı raporlar, kuruluşların güvenlik kontrollerini güçlendirmelerine ve değerlendiricilere sürekli durum tespiti göstermelerine yardımcı olacaktır. Penetrasyon Testi genel olarak kuruluşların güvenlik denetimlerinin teknik parçasıdır. Bu güvenlik denetimlerinin zorunluluğunun yanı sıra kuruluşlar kendi isteğiyle de bu hizmeti alabilmektedir. Burada genelleme yapacak olursak kuruluşların güvenliği açısından bu hizmetin 1 yıl aralıklarla alınması birçok kuruluş için yeterli olan zaman aralığıdır. Fakat sistemler üzerinde yapılan değişiklikler sonrasında bu testlerin tekrarlanması önerilmektedir.