Penetrasyon Testi| Pentest| Sızma Testi Nedir ?
Penetrasyon Testi| Pentest| Sızma Testi
Pentest-Penetrasyon testi, kötü niyetli bir saldırganın sisteme içeriden veya dışarıdan verebileceği zararı öngörmek ve zayıflıklara karşı önleyici tedbirler almak için tasarlanmış bir saldırı simülasyonudur.
Penetrasyon Testi| Pentest| Sızma Testi
Neden Yaptırmalıyım?
Sızma testi zorunludur ve potansiyel güvenlik açıklarını riskler oluşmadan önce tespit edebilir. Bu nedenle, PCI, ISO27001, SoX/Cobit gibi tüm düzenlemelerde güvenlik denetimleri ve/veya sızma testleri zorunludur.
Penetrasyon Testi| Pentest| Sızma Testi, şirketin güvenlik becerilerini en üst düzeyde tutmak, dışarıdan gelebilecek saldırıları görmek ve önlemek için önleyici tedbirler almak, sistem yatırımlarının güvenliğini sağlamak ve en önemlisi güvenlik ihlallerine bağlı olası bilgi kayıplarını önlemek için yaptırılmalıdır.
Ayrıca,
Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisinin yayınladığı “Bilgi ve İletişim Güvenliği Rehberi” içerisinde,
- 3. Rehber Uyum Planı içerisinde doğrudan Sızma Testi atıfı mevcuttur.
- Sızma testi ve güvenlik denetimi kapsamı tanımlanmalı ve dokümante edilmelidir.
- Sosyal mühendislik testleri de sızma testi kapsamına dâhil edilmelidir. İfadesi yer almakta.
Penetrasyon Testi| Pentest| Sızma Testi Amaçları Neler?
- Belirli bir saldırı vektörü setinin kullanışlılığını belirlemek
- Düşük riskli güvenlik açıklarından yararlanmanın neden olduğu yüksek riskli güvenlik açıkları da dahil olmak üzere mevcut tüm güvenlik açıklarını sırayla belirleyin
- Otomatik ağ veya uygulama güvenlik açığı tarama yazılımı kullanarak tespit edilmesi zor veya imkansız olabilecek güvenlik açıklarını tespit edin
- Başarılı bir saldırının kuruluş ve operasyonları üzerindeki potansiyel etkisini değerlendirin
- Siber savunucuların saldırıları tespit etme ve bunlara yanıt verme yeteneğini test edin,
- Güvenlik personeli ve teknolojisine artan yatırımı gerekçelendirin,
- Sızma testi, eksiksiz bir güvenlik denetiminin önemli bir parçasıdır. Örneğin, Ödeme Kartı Sektörü Veri Güvenliği Standardı’na (PCI DSS) göre, sızma testi düzenli olarak ve sistemdeki herhangi bir değişiklikten sonra yapılmalıdır.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemine uyumda da önem arz etmektedir.