[vc_row][vc_column][vc_column_text]
Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.
Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.
Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.
Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.
Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.
Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.
Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.
Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.
Sızma testinin yapılması ve raporlanmasının ardından kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.
[/vc_column_text][vc_column_text]
Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.
Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.
Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.
Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.
Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.
Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.
Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.
Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.
Sızma testinin yapılması ve raporlanmasının ardından kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.
[/vc_column_text][vc_column_text]
– Sistemler ve ağ üzerindeki zafiyetlerin tespit edilmesi
– Tespit edilen zafiyetlerin istismar edilmesi
– Saldırı simülasyonu kapsamında manüel sızma testlerinin yapılması
– Raporlama (Tespit edilen zafiyetlerin giderilmesi için önerilerin sunulması)
– Workshop: Siber güvenlik ve etik hacking
– Kontrol testleri
– Kontrol testinin raporlanması
[/vc_column_text][/vc_column][/vc_row]