Güvenlik açıklarına genel bakış

Bilişim güvenliği konusunda gün geçmiyor ki en az birkaç yeni istismar ortaya çıkmasın. Örneğin Microsoft firması, Salı güncellemelerinin bir parçası olarak her ay onlarca ve hatta yüzlerce güvenlik açığını kapatır (her ayın ikinci Salı günü düşen bir aylık güncelleme döngüsü var) ve bu yalnızca Windows işletim sisteminin (OS) güvenlik açıkları açısından geçerlidir.

Sızma testi (pentest), bir güvenlik sisteminin kalitesini değerlendirmek için en etkili yöntemlerden biridir. BT altyapısındaki güvenlik açıklarını belirlemek, güvenlik açıklarından yararlanma olasılığını göstermek ve ortadan kaldırılmasına yönelik öneriler hazırlamak için yapılır.

Sızma Testi prosedürleri, bilgi sistemi sahibinin bilgisi dahilinde müşteriler ve ortak kuruluşların temsilcileriyle gerçekleştirilir ve genellikle mali ve itibar kayıpların yanı sıra diğer istenmeyen sonuçların eşlik ettiği bilgi güvenliği olaylarını önlemeyi amaçlamaktadır.

Aynı zamanda dünya üzerindeki yasal gereklilikler, sızma testi yapma ihtiyacını belirleyen önemli faktörlerdendir. Yine, koruma sisteminin etkinliğinin doğrulanması son derece önemli bir önlem olarak kabul edilir ve ilgili hükümler, düzenleyici ve metodolojik belgelerde yer alır. Bu bağlamda ülkemizde her şeyden önce, önemli derecede bilgi sistemine tabi olan BDDK, KVKK gibi düzenleyici kanunlardan bahsetmek uygundur. Bu kanunlar, sertifika aşamasında “bilgi sistemine yetkisiz erişimi (etkiyi) atlayarak bilgi güvenliği sistemini test etme” biçiminde bir güvenlik önlemini tanımlar. Koruma sisteminin etkinliğinin kontrol edilmesini içeren bilgi sistemlerinin doğrulanması, kurum sırlarını işleyen bilgi sistemleri için de talep edilmektedir.

Uluslararası Standartlar

Uluslararası olarak, PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) veri güvenliği standardına dikkat etmek gereklidir. PCI DSS standardına uyum, Visa ve MasterCard ödeme kartlarının işlenmesine dahil olan üye işyerleri, işlem merkezleri, alıcılar, kart veren kuruluşlar ve hizmet sağlayıcıların yanı sıra kart sahibi verilerini depolayan, kartlar ve hassas kimlik doğrulama verileri işleyen veya ileten diğer tüm kuruluşlar için zorunludur.

Standardın hükümleri, bilgi sistemi ağı içinde ve dışında güvenlik açıklarının ve sızma testlerinin analizini sağlar. Sızma testi (pentest), bilgi güvenliği uzmanlarının ileri eğitiminin sonucu olarak ve bilgi güvenliği ile ilgili uzmanlık alanlarında eğitim almış kişiler tarafından pratik becerilerin kazanılmasının yanı sıra kendi ürünlerinin bilgi güvenliği araçlarının geliştiricisi tarafından test edilmesinin bir parçası olarak yapılabilir. Açıktır ki, tüm bu amaçlar için, en çok talep edilen, ağ güvenliği, web uygulama güvenliği, veri tabanı güvenliği ve sızma testi stratejilerini kapsayan ve hem yerel hem de uluslararası düzenleyici belgelerin gereksinimlerine uymaya yetecek işlevselliği içeren entegre tehdit yönetimi çözümleridir. Bu çözümler, 2000 li yıllardan itibaren kullanılmaktadır.