Pentest (sızma testi), bilgi güvenliği sorunlarını tanımlayan ve altyapı bileşenlerine veya gizli bilgilere yetkisiz erişim elde etmenin olası yollarını gösteren şirketin ağ kaynaklarının güvenliğinin bir analizidir. Bu testler söz konusu olduğunda, birçok kişi ve kaynak tarafından pompalanan çeşitli efsaneler ve korkular vardır. İşte, kafa karışıklığına sebep olan o yanlışlardan bazıları:
- Küçük işletmeler için sızma testi (pentest) gerekmez.
Şirketinizin büyüklüğünden bağımsız olarak, dolandırıcıların (hackerların) kurbanı olmaktan kaçınmak için mümkün olan her şeyi yaptığınıza emin olmak için penetrasyon testleri (sızma testleri) mevcuttur. Bir siber suçlu, kuruluşunuzun ne kadar büyük olduğunu umursamaz, onlar için hedef, hedeftir.
- Sadece Hükümet veya Finans Kurumları Sızma Testlerini Yaptırmalıdır.
Güvenlik, hangi sektörde çalışırsanız çalışın, her işletmenin temel bir bileşenidir. İş süreçlerinizin sürekliliğini sağlamak ve en önemlisi, ihlallerinin ve bilgi sızıntılarının bir sonucu olarak ortaya çıkabilecek büyük itibar ve finansal kayıpları önlemek çok önemlidir. PCI, HIPAA gibi standartlar da sızma testi yaptırmayı zorunlu hale getirmektedir. Son zamanlarda ise KVKK Sızma testi (pentest) zorunluluğu ile de firmalar bu hizmeti almaya başlamışlardır.
- Sızma Testi (Pentest), Güvenlik Açıklarının Bir Değerlendirmesidir.
Kuruluşlar penetrasyon testlerini (sızma testlerini) genellikle güvenlik açığı değerlendirmeleri ile karıştırmaktadır. Güvenlik açığı değerlendirmeleri, güvenlik açığının kritik olup olmadığını denetlemeden bilinen güvenlik sorunlarını ve hata düzeylerini kontrol eden önceden tanımlanmış parametrelere sahip otomatik bileşenlere dayanmaktadır. Bu otomatik tarama araçlarının veri tabanlarında bulunmayan güvenlik açıklarını ya da insandan kaynaklı güvenlik açıklarını algılamadığını da hatırlamak önemlidir.
Sızma Testi (Pentest) her güvenlik açığını test etmek için hem manuel hem de otomatik yöntemler kullanır, bu güvenlik açığından yararlanmaya çalışır ve sistemin bir bütün olarak nasıl etkileneceğini gösterir.
Sızma testi sırasında başarıyla kullanılan tüm güvenlik açıkları hakkında bilgi toplanır ve uzmanların stratejik sonuçlar çıkarmasına ve uygun düzeltici önlemlere öncelik vermesine yardımcı olmak için şirket ve BT departmanlarının yönetimine rapor edilir. İyi bir sızma testi şirketi size ayrıntılı ancak okunması kolay bir rapor sunmalıdır.
- Bir Defa Sızma Testi Yaptırdım, Sistemim Güvende
Sızma testleri (pentest) güvenlik önlemlerinin bir parçası olmakla birlikte PCI DSS standartlarında hem yıllık olarak hem de her sistem değişikliklerinden sonra sızma testlerinin yapılması gerektirmektedir. Düşük riskli açıklıklardan kaynaklanan yüksek riskli açıkların tespit edilmesi de sağlanabilir. Sızma testi hizmeti veren personel ve firmalar için yetkilendirme programı en az yılda bir defa yapılmasını tavsiye eder.
- Sızma Testleri Sisteminize Zarar Verebilir
Öncelikle standartlara uygun hiçbir Penetrasyon testi (Sızma testi) bilişim alt yapısına zarar vermez. Ancak sızma testleri (penetrasyon testleri) yapılırken bazı riskler ve dikkat edilmesi gereken noktalar tabii ki vardır. Sızma testi sırasında, sisteme aşırı yüklenmeden kaynaklı işletim sistemindeki yada sağlanan hizmetin olası çökme sorunları, Kurumsal verilerin kasti olarak veya kasıtsız olarak test esnasında değiştirilmesi, daha önce yaptırılan testlere ait sonuçların, 3. tarafların eline geçerek kötü niyetli olarak kullanılması gibi riskleri vardır. Gizliliği garanti etmek için imzalı bir Gizlilik Anlaşması (Non Disclosure Aggrement – NDA) edinin. Kuruluşunuzdaki tüm ilgili kişilerin sızma testlerinden haberdar olduğundan emin olun. Önemli verileri yedekleyin. Test sırasında herhangi bir hata veya başka bir sorun bulursanız, derhal penetrasyon testi şirketinizi bilgilendirin. Burada firmanın güvenilirliğini araştırmak, yapılan sözleşme ve feragatnamenin dikkatlice okunması çok önemlidir.
Sonuç olarak;
Sızma testi (pentest), mevcut güvenlik durumunuzu kontrol etme ve işinizi koruma altına alma fırsatı verir. Doğru kapsam ve test türünü seçerek, uygun OSSTMM (The Open Source Security Testing Methodology Manual), OWASP (Open Web Application Security Project), PTES (The Penetration Testing Execution Standard) gibi standartlara göre güvenlik açıklarınızı kolayca belirleyebilir ve düzeltebilirsiniz.
İşini iyi yapacak yetkili çalışanlarla güvendiğiniz bir şirket bulmak, tüm sürecin en temel unsurudur. Güvenlik şirketi, açıklar ortadan kaldırılana ve risk en aza indirilene kadar sürecin her adımında size yardımcı olmalıdır.
Sızma testleri (pentest) tek başına bağımsız bir prosedür değil, Gizlilik, Bütünlük ve Erişilebilirlik gibi genel risk yönetimi programınızın ayrılmaz bir parçası olmalıdır. Kişisel Verilerin Korunması Kanununa (KVKK) uyum sürecinde alınacak teknik tedbirler içinde Sızma Testleri de vardır.
Ve unutmayın bilişim güvenliği, çok teknik önlemlerin ötesinde bütünsel, genel bir yaklaşımdır. Unutmayın kırılamayacak kadar emin olunan bir güvenlik sistemi yoktur, sürekli kontrollere ve iyileştirmeye dayalı bir kültürü olan şirketler vardır.
Neden Secromix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, DLP, bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.