Denetim

Sızma (Penetrasyon) Testleri

Sızma (Penetrasyon) Testleri

İşletmelerin kullanmakta oldukları bilgi sistemlerinde güvenlik zaafiyetleri olabilir. Bunun neticesinde hacker adı verilen kötü niyetli kişiler sisteme girmekte, bilgileri ve programları ele geçirmekte veya kullanılmaz duruma getirmektedir. Hackerlerin sahip oldukları bilgi, deneyim, beceri ve motivasyonları, genel olarak en azından sistem güvenlik uzmanlarının sahip olduklarına eşdeğer veya üzerindedir. Bu nedenle hiçbir şekilde sistem güvenliğinde bir zaafiyet olmaması gerekir. Sızma (penetrasyon) testleri, bilgi sistemlerindeki güvenlik ile ilgili açık noktaların üçüncü bir göz tarafından denetlenmesi ve raporlanması çalışmaları şeklinde gerçekleştirilmektedir.

Bu konunun uzmanlarına göre bilgi sistemlerinin güvenliği temelde iki şekilde ele alınmaktadır. Bunlardan ilki savunma amaçlıdır, diğeri ise proaktif güvenliktir. Sızma testleri, işletmelere ait bilgi işlem sistemlerine, akla gelebilecek her türlü yol denenerek sızılmaya çalışmak şeklinde gerçekleştirilmektedir. Bu testlerin yapılmasından amaçlanan, sadece güvenlik açıklarını tespit etmek değil, aynı zamanda bu güvelik açıklarını değerlendirmek ve olası sızmalara karşı sistemlere sadece yetkili kişilerin erişimini sağlamaktır.

Sızma testleri genel olarak önceden tasarlanmış belli metodolojiler kullanılarak yapılmaktadir. Bu test yöntemleri çalışmaların doğrulanabilir, yorumlanabilir ve tekrar edilebilir olmasını sağlamak içindir. Daha önce denenen ve standart hale getirilen kurallar uygulandığı takdirde daha kesin sonuçlar alınmaktadır.

Genelde zayıflık tarama işlemleri ile sızma testleri birbirlerine benzemektedir. Zayıflık tarama işlemlerinde, bir takım yazılımlar kullanılmakta ve sistemdeki güvenlik açıklıkları tespit edilmektedir. Sızma testlerinde ise sadece güvenlik açıklıklarını belirlemek amaçlanmamakta, aynı zamanda bu açıklıklar kullanılarak sistemdeki veritabanı bilgilerine erişme durumu da tespit edilmektedir.

Sonuç olarak sistemde bulunan uygulamaların ve verilerin ne kadar güvende oldukları konusu bütün işletmelerin ortak problemidir. Sızma testleri bu probleme cevap bulunmasını sağlamaktadır. Çeşitli sızma testleri bulunmaktadır. Bunlar hedefe, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Bu nedenle işletmelere hangi sızma testinin uygulanacağı işletmenin özelliklerine ve ihtiyacına göre değişmektedir. Genel olarak sızma (penetrasyon) testleri şunlardır: network penetrasyon, uygulama penetrasyon, veri tabanı penetrasyon ve wired-wireless penetrasyon.

Kuruluşumuz denetim hizmetleri kapsamında işletmelere güvenlik denetimleri hizmetleri vermekte ve bu çerçevede sızma (penetrasyon) testleri yapmaktadır. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun hizmet vermektedir.