Sızma Testi (Pentest) Nedir ?
Bir bilişim sisteminin güvenlik uzmanları tarafından hem otomatik hem manuel olarak bilinen veya bilinmeyen açıklarının test edilmesi işlemidir.
Sızma testine mevcut bulunan her güvenlik açığı, sistem üzerinde en yetkili kullanıcı seviyesine ulaşmak için değerlendirilir ve test sonuçları öneriler ile birlikte raporlanarak sunulur.
Sızma Testi Neden Gereklidir ?
Sızma Testleri hem mevcut bilişim sistemlerinin konfigürasyonlarının doğru olup olmadığının kontrolü açısından, hem de sistemler üzerinde bulunabilecek güvenlik açıklarının tespit edilip, giderilmesi açısından oldukça önemlidir. Bir çok kurum ve şirket güvenlik cihaz ve yazılımlarına oldukça fazla yatırım yapmaktadır. İşte tam bu noktada ağda kurulan güvenlik yazılımları ve cihazlarına yapılan yatırımların boşa gitmemesi adına sızma testlerini periyodik olarak yaptırmak kilit rol oynamaktadır. Kurum ve şirketler sızma testleri sonrası ağda kurulu güvenlik cihaz ve uygulamalarının performans ve işleyişlerini görebilecek özellikle yazılım ve sunucular üzerinde çıkan güvenlik açıklarını giderme konusunda önlemler almış olacaktır.
Sızma Testi Türleri Nelerdir ?
İç Ağ, Dış Ağ ve Web Uygulama Sızma Testi adı altında 3'e ayrılmaktadır.
İç Ağ (Internal) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.
Dış Ağ (External) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.
Web Uygulama Sızma Testi: Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır ancak odak noktamız web uygulamalarıdır.
Sızma Testi Çeşitleri Nelerdir ?
Temel olarak kabul görmüş üç yöntem vardır;
Black Box: Bu yaklaşımda, başlangıçta güvenlik testi yapılacak sistemle ilgili bir bilgi yoktur. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanacak ve testler yapılacaktır. Bu yöntemde test ekibinin sistem ile ilgili bilgi düzeyi hiç olmadığından, yanlışlıkla sisteme zarar verme ihtimalleri de yüksektir. Bilgi toplama safhası oldukça zaman alır. Süre bakımından en uzun süren yaklaşım tarzıdır.
Grey Box: Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. Örneğin; IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi vb. Bilgiler güvenlik testi yapacak ekibe önceden sağlanır. Black Box yaklaşımına göre daha kısa zaman alır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
White Box: Beyaz kutu olarak ifade edilen bu yaklaşımda, güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır. Sistemin zarar görme riski çok azdır ve maliyet olarak da en az maliyetli olandır.
Bu içeriği görmek için giriş yapın.