SIZMA TESTİ (PENTEST) NEDİR?

[vc_row][vc_column][vc_column_text]

Sızma testi günümüzde her kurumu ilgilendiren bir konu haline gelmiştir.

Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.

Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.

Penetrasyon testi, özetle bir sistemin saldırıya ne kadar savunmasız olduğunu ölçme testidir denilebilir.

Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.

Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.

Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.

Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.

Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.

Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.

Sızma testinin yapılması ve raporlanmasının ardından  kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.

ZETU Teknoloji olarak bu sürece bir de 1 günlük Workshop ekledik ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri sunabiliyoruz.

Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.

[/vc_column_text][vc_column_text]

Sızma testi günümüzde her kurumu ilgilendiren bir konu haline gelmiştir.

Sızma testinin diğer isimleri Penetrasyon Testi, Offensive Security, Ethical Hacking, Red Teaming, Pentest olarak sıralanabilir.

Pentest’in yani sızma testinin tam olarak ne olduğunu, neden yaptırılması gerektiğini ve ayrıca kime yaptırılması gerektiğini, sonuçlarından neler beklenmesi gerektiğini bilmek, hem alım sürecini kolaylaştıracak hem de doğru bir tercih yapılmasında yardımcı olacaktır.

Penetrasyon testi, özetle bir sistemin saldırıya ne kadar savunmasız olduğunu ölçme testidir denilebilir.

Kuruluşun, bilgi teknolojileri ve internet iletişimi ağı ve bileşenlerinin risk seviyesinin ölçülmesi ve raporlanması amacıyla sızma testleri yapılır. Bu kapsamda, siber suçlular tarafından kullanıldığı bilinen araç ve teknikler kullanılarak kuruluş bilgi güvenliği seviyesi değerlendirilir.

Yapılan çalışmalar sonucunda ortaya çıkan zafiyetler detaylı olarak raporlanır ve zafiyet giderme önerileri sunulur.

Tespit edilen zafiyetlerin giderilmesinden sonra gerekli kontrol testlerinin yapılması da sızma testi kapsamındadır.

Siber güvenlik uzmanları tarafından, siber saldırganların kullandıkları araç ve teknikler kullanılarak gerçekleştirilen sızma testlerinde, saldırganların bakış açısıyla hareket edilmeye çalışılır.

Zafiyetler tespit edilir ve hedef sisteme erişim sağlanmaya çalışılır. Ancak sızma testi yalnızca bir sistemin “hacklenmesi” veya “hacklenmeye çalışılması” olarak düşünülmemelidir. Bu sürecin doğru şekilde analiz edilmesi ve anlaşılır şekilde raporlanması, kuruluşun yarar sağlayabilmesinin yegâne yoludur. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir ki bu otomatik araçlar vasıtasıyla sızma testi uzmanlarına ihtiyaç kalmadan da zaten yapılabilmektedir.

Bu noktada, zafiyet taraması ile sızma testinin farklarını anlayabilmek için “Sızma Testi Mi?Zafiyet Taraması Mı?” başlıklı makalemizi okumanızı öneririz.

Sızma testlerinin siber güvenlik uzmanları tarafından kurumdan yetki (yazılı izin) alınarak ve yasal olarak gerçekleştirilmesi gereklidir. Aksi halde 5237 sayılı TCK (Türk Ceza Kanunu), “Bilişim Alanında İşlenen Suçlar” başlığı altında yer alan 243 ile 244. maddeleri uyarınca suç sayılacaktır. Bu maddeler: “Bilişim sistemine girme suçu (TCK m.243)” ve “Sistemi Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)”dir.

Sızma testinin yapılması ve raporlanmasının ardından  kuruluşun tespit edilen zafiyetleri gidermesi ve sonrasında gerekli kontrol testlerinin yapılması da sızma testi kapsamında olmalıdır. Aksi halde sızma testi tamamlanmış sayılamayacaktır.

ZETU Teknoloji olarak bu sürece bir de 1 günlük Workshop ekledik ve sızma testi sırasında ortaya çıkan güvenlik açıklarının nedenlerini ve çözüm önerilerini kuruluş ortamında ele alarak, en doğru çözümleri sunabiliyoruz.

Kısaca, raporu verip kaçan sızma testi ekibi dönemini bitirdik.

[/vc_column_text][vc_column_text]

[/vc_column_text][/vc_column][/vc_row]