Penetrasyon / Sızma Testi altyapı ve iş süreçleri için kontrollü ve maksimum güvenli saldırılar kullanarak ve güvenlik açıklarını belirleyip kullanmaya çalışan bir bilgi sisteminin gerçek güvenliğini değerlendirmek için kullanılan prosedürlerdir (girişimlerdir). Pentest, mevcut güvenlik sorunları hakkında ayrıntılı bilgi vermeyi, bilgi sisteminin gerçek güvenliğini artırmak için önemli olan alanları planlamayı sağlar.
Penetrasyon testi, bilgi güvenliği alanında en hızlı büyüyen alanlardan biridir. Hem kanunlar hem de firmaların iş ve itibar kayıpları standartlar (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) dahilinde yapılan sızma testlerini zorunlu hale getirmektedir.
Resmi olarak, sızma testi bir bilgi sisteminin güvenlik denetiminin unsurlarından biridir. BT altyapısının gerçek güvenliğini ve potansiyel saldırganların gerçek saldırılarına (ve BT iş süreçlerinin olgunluğunu değerlendirmenize) verilen reaksiyonların toplamıdır. Aslında, bir korsan yapının bilgi sisteminize girme girişimini tespit edip engellenip – engelleyemediğini kontrol etmek için bir fırsattır.
Her bilgi güvenliği tarama hizmeti Penetrasyon Testi olarak adlandırılamaz. Son zamanlarda, piyasada bir takım yazılım ürünleri ve enteigratör satıcılarının güvenlik açığı tarayıcı raporlarını bir pentest olarak sunduğu bir durum ortaya çıktı. Bazen bu şirketler, bulunan güvenlik açıklarının manuel doğrulamasını bile gerçekleştirmezler.
Bilgi güvenliği taraması mı, sızma testi mi?
Tam teşekküllü bir Penetrasyon Testi , yalnızca mevcut güvenlik açığı tarayıcılarını kullanan (bu, testin aşamalarından biri olmasına rağmen) veya örneğin bir web sitesinin güvenlik açıklarını manuel olarak kontrol eden otomatik bir tarama değildir; daha çok güvenlik için BT altyapısının eksiksiz bir analizi ve raporlanmasıdır. Önemli olan sadece çeşitli test programlarını kullanarak açıkları bulmak değil, mevcut altyapıdaki hangi problemlerin olabileceğini ve bir saldırganın bunlardan nasıl yararlanabileceğini anlamaktır.
Gerçek bir sızma testi ile basit tarama arasındaki ikinci önemli fark ise, algılanan güvenlik açıklarını ortadan kaldırmak için önerilerin verilmesidir. Sadece güvenlik sorunlarını tanımlamak değil, aynı zamanda en uygun maliyetle çözmekte (onlardan kurtulmak) oldukça önemlidir.
Üçüncü özellik ise, pentestin, ağ topolojisindeki kusurların, ekipman ayarlarının (WiFi ekipmanı dahil), mobil cihazların ve mobil uygulamaların ve diğer potansiyel etki noktalarının bir analizini içermesidir.