HER KURUM VE ŞİRKETİN KENDİNE SAKLAMASI GEREKEN BİLGİLER VAR. BİLGİSAYAR KORSANLARI YA DA HACKER DENİLEN KİŞİLER, ÇOĞUNLUKLA BU BİLGİLER KARŞILIĞINDA BİR ŞEY ALMAK İÇİN KURUM AĞLARINA SALDIRILAR DÜZENLİYORLAR. İŞTE TAM BU NOKTADA, KISA ADI “PENTEST” OLAN SIZMA TESTİNİN ÖNEMİ ORTAYA ÇIKIYOR.

Değişim her alanı ciddi şekilde etkiliyor. İster dünya lideri ister bir mahalle esnafı olun dünyadaki bu değişimden kaçamıyorsunuz. Herkes teknoloji kullanıyor ve hızla değişen teknolojiler birçok güvenlik risklerini de beraberinde getiriyor. İş dünyası da bugünlerde daha çok sistemlere sızma, bilgileri ele geçirme, özel bilgilere erişimi konuşuyor. Kısa adı PENTEST olan penetrasyon testi ya da çok bilinen adıyla sızma testi, bu süreçte kilit bir rol oynuyor.

NEDEN SIZMA TESTİ YAPTIRMALISINIZ?

Bilişim sistemlerine bir sızma gerçekleştiğinde, kurumlara açtığı zarar çok yüksek olabiliyor. Diğer yandan, siber saldırılar maddi zarar vermekle birlikte iş gücü ve prestij kaybına da neden oluyor.  Sızma testlerinde,  siber suçluların kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve sistemler ele geçirilmeye çalışılıyor. Sızma testi yapan siber güvenlik uzmanları, siber saldırgan gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak gerçek bir saldırı ile karşılaşıldığında sistemin açık noktalarının belirlenmesini sağlarlar.  Sızma testinde standartların üstüne çıkılması gerektiğini söyleyen BeyazNet Genel Müdürü Fatih Zeyveli ise “Sızma testi akreditasyonları, sertifikalı uzman kadro,  lisanslı özel yazılımlar gibi standartlar artık günümüzdeki test ihtiyacını karşılamıyor. Bununla birlikte, farklı ortamlarda tecrübe çok önemli. Bu nedenle sızma testlerinde ‘Cyber Kill Chain’ tekniğinin tam uygulanması, kuruma ve uygulamalara özel saldırı senaryolarının belirlenmesi büyük önem taşıyor. Sızma testini gerçekleştirecek uzmanlar hacker teknikleri ile yazılım kodlama tekniklerine hâkim olarak, kurumlara daha doğru ve daha fazla bulgu verebiliyorlar. Diğer yanda, sızma testlerinin var olan zafiyetlerin  ne kadarını bulabildiği de önemli.” değerlendirmesinde bulunuyor.

SIZMA TESTİ RAPORU TESTİ YAPANDA KALMAMALI
BeyazNet Genel Müdürü Fatih Zeyveli, gerçekleştirilen sızma testinin ardından bulgular ve çözümleri içeren, yönetmeliklere (EPDK, BDDK, Cumhurbaşkanlığı Bilgi Güvenliği Rehberi gibi) ve uluslararası otoritelere (OWASP, NIST, ISSAF, PCIDSS, PTES vb.) uyumlu raporlar üretilmesinin önemine de değinirken, “Sızma  testi raporları kurumlar için risk oluşturabilecek çok gizli bilgiler içerir. Raporların güvenli iletilmesi için şifreli rapor iletim altyapısı mutlaka olmalıdır. Rapor erişimi ve dosya her zaman şifreli olarak saklanmalıdır. Tüm raporlar, doğrulama testlerinden belirli bir süre sonra silinmelidir. Sızma testi uzmanlarının bilgisayarlarında çalıştığı aktif projeler dışında hiçbir dosya tutulmamalı ve sistem sürekli denetlenmelidir. Böylece raporlar sadece kurum tarafında özenle korunmalıdır.” uyarısında da bulunuyor.

SIZMA TESTİNDE AKREDİTASYON ÖNEMLİ

Bu açıdan, sızma testi her siber güvenlik şirketinin yapabileceği bir çalışma olmasına rağmen raporlamadan sonuçlara kadar ekibin yetkinliği çok önem taşıyor. Fatih Zeyveli, sızma testi için çalışılacak kurumun mutlaka TSE Onaylı A Sınıfı Sızma Testi firması olması gerektiğinin altını çizerken, ISO 27001, ISO 9001, ISO 22302, ISO 200001 gibi kalite belgelerinin sorgulanmasının önemine de işaret ediyor. Yine, sızma testi için çalışılacak kurumun “Siber Küme Üyesi” olmasına dikkat edilmesini de söyleyen Fatih Zeyveli, ek olarak, uzmanlığı en üst düzeyde olan kurumlara verilen NATO Tesis Güvenlik Belgesi’nin, sızma testini yapan kurumun gücünü gösterdiğini de hatırlatıyor.

BeyazNet’in ürün ve hizmetleri ile sızma testi hakkındaki daha ayrıntılı bilgilere, burayı tıklayarak ulaşabilirsiniz.