Sızma Testi
Sızma testleri, penetrasyon testi olarak bilinen IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve siber güvenlik tehditlerini önceden tespit etmek için kullanılan bir danışmanlık hizmetidir. Sızma testi ile IT varlıklarının iletişimleri, bağlantıları ve bu varlıklar üzerindeki uygulamalar test edilerek, açıklıkların ortaya çıkartılması hedeflenir.
Sızma testleri her bir varlık türüne göre önceden belirlenen senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek olan sızma testinin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihazları ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilir.
Sızma Testi Pentest Hizmeti
Pentest hizmeti olarak da bilinen sızma testleri, bilişim sistemlerindeki hataların ve zafiyetlerin ortaya çıkartılarak, söz konusu güvenlik açıklıklarının kötü niyetli siber saldırganlar tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacı ile, alanında uzman ve yetkili kişiler tarafından gerçekleştirilen siber güvenlik danışmanlık hizmetidir. Yapılan bu sızma testlerindeki amaç, zafiyetleri tespit etmekle beraber bu zafiyetler kullanılarak ilgili sistemde yetkili erişimlerin nasıl elde edilebileceğini ve nelerle sonuçlanabileceğini göstermektir.
Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan üç ana yöntem kullanılarak testler uygulanır.
Sızma Testi Pentest Hizmetinde Uygulanan Yaklaşımlar
Siyah Kutu (Black Box): Sızma testi yapılacak sistemlerle ilgili herhangi bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir.
Gri Kutu (Gray Box): Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi birçok bilgi güvenlik testi yapacak ekibe önceden sağlanır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
Beyaz Kutu (White Box): Güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır.