TSE onaylı sızma testi firmaları, bilişim sistemlerindeki mantık hataları ve zayıflıklarını belirli incelemesi yapılarak, üzerinde durulan konu olmaktadır. Güvenlik açıklığı ise kötü amaçlı şahsıların tarafından kötüye kullanılmasını önlemek ve sistemleri artık güvenli duruma getirmek için, Dijital güvenlik uzmanlar yardımıyla gerçekleştirilen yasal güvenlik kriteridir. Bilgi Güvenliğinde aşırı değerli bir amaç olan sızma Testi özelliğinde temel amacı, zayıflıklarını uygun şekilde incelemeleri yapılması ardından araştırmaların ise, diğer taraftan sınırlı olan sisteme zarar vermeyecek şekilde kullanmak ve yetkili ulaşımlar elde etmektir. Penetrasyon testi ile firmalar, yaptıkları bilgi güvenliği cezaların ne kadar hatasız veya kusurlu olduğunu da görebilmektedirler.
sızma testi çalışmaları, aktif güvenliği olarak uygulanan offensive security (saldırı güvenliği) çalışmaları niteliğinde yapılmaktadır. Sızma testleri (Penetration) web uygulama güvenliği, yerel ağ güvenliği, mobil uygulama güvenliği, kaynak kod analizi, bulut sistemler, ddos Distributed Denial of Service saldırılarına karşı sızma testi, kablosuz ağ sızma testi ve voip sızma testleri gibi alt bölümlerden oluşmaktadır.
Sızma Testini Zafiyet Analizinden Ayıran Farklar
Sızma testleri, müşteri tarafından belirlenen, bilişim sistemlerine olanaklı olabilecek bir yol denenerek sızma testleri ile çalışma işlemlerinin hepsine verilen addır. Doğrusu sızma testi, hepsi bilişim sistemlerinizi bir bilgisayar korsanı özenle inceleyerek, erişebileceğimiz en yetkili düzeyde sisteminize hasar vermeden ulaşılabilecek ve bu adımda karşılaşılan güçsüz ve kusurlarına çözüm önerileriyle uzman olarak raporlamaktır. Sızma testlerinde amaç, güvenlik açıklığını bulmaktan bir başka yönde bulunan açıklığının yorumlayarak sistemlere yetkili ulaşımları elde edilen bir güvenlik sistemi edilebilmesidir. Çok şirket ya da şirketlerin bilgileri ve becerileri eksik olan sebeplerden yönünden sızma testi yaptırırken testin kaliteliği de dar tutmakta ve yalnızca önemli görülen kimi kritik sunucuları teste mecburen tutmaktadır. Lakin siber saldırganlar, maksat ise önemli veya değersiz olarak belirleme yapmazlar, şirketler için değersiz gibi görülen bir sunucuyu sisteme ulaşabilmek için kademe yerine kullanabilirler.
Whitebox, blackbox, graybox olmak neredeyse dünya da yaygın kabul görmüş üç tür sızma testi vardır. Sızma testleri penetrasyon ve zafiyetleri tarama (Vulnerability Assessment: güvenlik açıklıklarını değerlendirilmesi) karşılıklı olarak benzeyen ancak başka düşünceler. Zafiyetleri tarama amaç sistemdeki güvenlik açıklıklarının bu tip yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise hedef yalnızca güvenlik açıklıklarını tanımlamak değil, değişmeyen zamanda bu zayıflık kullanarak amaç sistemlere penetrasyon izini arttırabilecek öteki donanımlara nakil yapma, bilgi esaslarına erişebilmek için benzeri networkün güvenliğini riske atacak yöntem ve işlemleri keşif bulunmasıdır.
Hazırlayan: Seyhan ÖZKAYA