Sızma Testi

Sızma Testi

Sızma testleri belirli bilişim sistemleri üzerinde bulunan açıkların zafiyetlerin kötü niyetli hacker lar tarafından istismar edilmesini önlemek amacıyla sistemlere kurum tarafından izinli(yasal) olarak bir hacker gibi saldırıp güvenlik açıklarını zafiyetlerini bularak istismar etmek ve sonucunda bu güvenlik açıklarının kötü niyetli hacker ların sistemi istismar etmesinden önce kapatılması yönünde çözümler üretebilmektir.

Güvenlik yönetim sistemleri tarafından artık vazgeçilmez haline gelen sızma testlerini kurumların kategorisine göre (bddk, spk, pci-dss vb...) farklı kapsamlarda yapabilmekteyiz.

Genel olarak sızma testi ortak kapsamları aşağıda verilmiştir, bunlardan tamamı yapılabilir olmakla sadece belirli bir kısım olarak da yapılabilmektedir.

1-) Kurum içi (Internal) penetrasyon testi

Kurum içinden gerçekleştirilen penetrasyon testidir;

Genel bir kapsam adıdır, kategorilere göre bazı başka isimler ile görebiliriz (alt yapı ve aktif cihazlar vb..)

2-) Kurum dışından (External) penetrasyon testi

Kurum dışından gerçekleştirilen penetrasyon testidir.

Genel bir kapsam adıdır, kurumun dışarıya açık sunuculara yapılacak penetrasyon testini ifade eder, bu sunucular dns server web server mail server vb... hatta dışarıya açık bir ftp sunucusu bile olabilir.

3-) Web uygulamaları penetrasyon testi

Günümüzde çok popüler olan, web üzerinden çok fazla uygulamanın geliştirilmesine bağlı olarak bu penetrasyon testi artık farklı bir kalem haline gelmiştir. Web uygulamaları penetrasyon testinin farklı bir şeyi de normal zafiyet tarama araçları ile bulunamayan zafiyetler için manuel işlemlerin devreye girmesini gerektiren bir yapısının olmasıdır.

4-) Wireless Penetrasyon testi

Günümüzde artık olmazsa olmaz teknolijilerinden wireless teknolojisi, ne kadar büyük kolaylık sağlasa da güvenlik açısından kuruma kablolu networklerden farksız bir şekilde güvenlik tehditi oluşturabilmektedir.

Kendine ait penetrasyon araçları ve teknolojisi olan bu alan artık penetrasyon testlerinin ayrı bir kalemi olarak yer almaktadır.

5-) DOS/DDOS penetrasyon testi

Sistemi ele geçirmekten ziyade sistemi kullanılamaz hale getirmeyi amaçlayan bu penetrasyon, günümüzde saniyelik kesintilere bile tolerasyonu olmayan sistemler için (finans, borsa vb..) olmazsa olmazdır.

Ayrı bir penetrasyon kalemi olarak düşünülmektedir.

6-) Sosyal Mühendislik penetrasyon testi

Günümüzde bir çok yatırımlar yapılarak alınan güvenlik ürünleri her ne kadar büyük bir ölçüde güvenlik sağlasa da, kurumunuzdaki bir çalışanın mailine gelen bir linki tıklaması bile tüm güvenlik ürünlerinin bypass edilmesini ve hacker ların sisteminizin içine direk girebilmesine neden olabilir.

Apayrı metodları olan bu penetrasyon testi başlı başına ayrı bir kalem olup sisteminizdeki zayıf olabilecek en zayıf halkaya saldırmaktadır (insanlara)

7-) Mobile cihazlar penetrasyon testi

Günümüzde çok sık kullanılmaya başlayan mobil cihazlar iş yapış takip araçları haline gelmiştir (iphone, android vb..) Bu cihazları kullanarak kurum içinde de kurum kaynaklarına (wireless access point vb.) bağlanılarak çalışabilmektedir, bu durum bu cihazların da güvenliklerinin sorgulanmasını gerektirmektedir.

Yine ayrı bir kalem olarak değerlendirmesi gereken bir penetrasyon testidir.