Sızma testi en basit anlatımıyla, farklı farklı sistem testlerini ve problemlerini dikkate alan yöntemlerin kombinsyonlarıdır. Analizler testler ile yapılır ve bu testler sonucunda çeşitli çözümler sunulur. Testler 7 farklı aşamadan oluşur. Bunlar; planlama ve hazırlık, araştırma, keşif, bilgi ve risk analizi, aktif saldırı girişimleri, özet analiz ve rapor hazırlama aşamalarıdır. Her aşama ayrı ayrı adımlardan oluşmaktadır ve amaç; sistem güvenliğini tamamıyla kontrol altına almaktır.
Peki, sızma testinde dikkat edilmesi gereken noktalar nelerdir? Öncelikle, planlama ve hazırlık aşamasından başlayarak güvenlik açıklarını belirlemek ve sistem güvenliğini en üst seviyeye taşımak gereklidir. Dışarıdan gelecek her türlü tehlikeye karşı BT güvenliğini artırmak ilk amaç olmalıdır. Ayrıca işletmedeki personel güvenliğini sağlamak da en önemli noktalardan birisidir. Çünkü sistem organizasyondan başlayarak her türlü tehlikeye karşı koruma altına alınmalıdır.
Testin 2. aşaması olan araştırma aşamasında da pasif penetrasyon testi yapılır. Bu adımda amaç, sistemler hakkında detaylı ve tam bilgi elde etmektir. Sistem için risk teşkil edecek her unsur detaylı olarak incelenmelidir. Potansiyel güvenlik kusurları değerlendirilmeli ve bunun için gereken süre hesaplanmalıdır. Dikkat edilmesi gereken en önemli adımsa; aktif saldırı girişimleri adımıdır. Keşif aşamasında öne çıkan potansiyel risklerin ne ölçüde ortaya çıktığını değerlendiren bu aşamada gerçek bir sızma teşebbüsü yapılarak sistem teste alınmalıdır.
Başarılı bir sızma testinin kurumlara büyük faydası bulunmaktadır. Çünkü doğru bir test sayesinde olabilecek güvenlik açıkları en aza indirilebilir ve bunun için gerekli iş gücü de yine minimum seviyede tutulabilir. Ayrıca sistem sürekli stabil olarak çalışacağından iş kesilmesi gibi bir durumun da önüne geçilmiş olunur. PCI-DSS, ISO27001, HIPAA vb gibi yasal zorunluluklara tam uyum sağlanmış olur. En önemlisi de, firma imajı ve güvenliği korumaya alınmış olur. Böylece firma müşterilerine karşı da daha prestijli hareket edebilir.
Sızma testinin doğru sonuç verebilmesi için öncelikle testi yapan firmanın tamamen objektif davranması gerekmektedir. Test sırasında yapılan çalışmaların (hizmet engelleme saldırıları (DoS), Sosyal mühendislik saldırıları) tam ve eksiksiz olması gerekmektedir. Ayrıca testin ne sıklıkla yapılacağı hususu da mutlaka üzerinde durulması gereken bir konudur. Periyodik aralıklarla yapılan sızma testleri, sistemin de daha stabil çalışmasını sağlayacaktır. Dikkat edilmesi gereken bir diğer nokta ise, testin hangi alanda yapılacağıdır. Çünkü iç ağda veya internet üzerinden yapılan testler değişkenlik göstermektedir. Ayrıca test sonucu çıkan raporların da yönetici ve çalışan tarafından iki farklı bakış açısına göre yapılması tavsiye edilmektedir. Testin her aşamasında ekran görüntüsü almak da, testin verimli sonuçlanması için mutlaka dikkat edilmesi gereken bir noktadır.
Sızma testi sırasında ortaya çıkan sistemsel zaafiyetler çok önemlidir. Özellikle bu zaafiyetler, eğer test aşamasında dahi kritik bir seviyede ise mutlaka erken aksiyon alınması gerekmektedir. Bu sayede sistemsel açıklar, daha erken kontrol altına alınabilir ve test de daha kusursuz ilerleyebilir. Dolayısıyla bu gibi durumlarda test aşamasında mutlaka kuruma haber verilmelidir. Hizmet alınan firmanın referansı da çok önemlidir. Firma/personel CV’leri mutlaka incelenmelidir. Ayrıca testler, normal işleyişi aksatmamalı, eğer mümkünse müşterilerin sistem üzerinde en az etkin olduğu saat aralığı tercih edilmelidir. Test sırasında kullanılacak araç ve uygulamalar, mutlaka kurumlara önceden bildirilmelidir. Böylece altyapı uygunluğu da kontrol edilmiş olacaktır.
SECROMİX SİBER GÜVENLİK HİZMETLERİ
Doğal olarak, davetsiz bir misafir iyi kilitlenmiş bir kapıyı açmak için aylar harcamak istemez, ancak güvenliğin öncelikli olmadığı bilgi sistemlerinde zayıf noktaları ve güvenlik açıklarını arayacaktır. Küçük gibi görünen güvenlik açıkları büyük sorunlarına neden olabilir ve sisteminizin tehlikeye girmesine neden olabilir. Bu sorunları ortadan kaldırmanın ve azaltmanın en iyi yolu sızma testleri (pentest / Penetration Test) yaptırmaktır.
Şirket veya firmanızın olası tehlike, ihlalleri önlemek ve mevcut güvenlik kontrollerini her bir saldırgana karşı güçlendirmek ve savunmasını en üst düzeye çıkartmak için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi hizmetleri vermektedir.
