Etkili sızma testi ve bir başka adıyla penetrasyon testi (pentest), test edilen güvenlik önlemlerine karşı, genellikle bir yöntem ve araç kombinasyonu kullanılarak kötü niyetli bir saldırının simülasyonunu içerir.
Sertifikalı, etik profesyonel bir test uzmanı testleri yürütür. Ortaya çıkan bulgular, güvenlik önlemlerinin geliştirilebileceği bir temel sağlar.
Sızma testi, ilk geliştirmeden devam eden bakıma ve sürekli iyileştirmeye kadar herhangi bir ISO 27001 Bilgi Güvenliği Yönetim Sisteminin (ISMS) temel bir bileşenidir. Sızma testleri aynı şekilde Payment Card Industry Data Security Standart (PCI DSS) zorunlu gereksinimlerindendir. Sonuç olarak ister standartlar istesin ister kendiniz isteyin, sızma testleri bir işletmenin güvenlik röntgenini çeken bir çalışmadır.
Neden sızma testi yapmalısınız?
Bilgi teknolojisi varlıklarının doğası, dış saldırıların yararlanabileceği birçok teknik güvenlik açığına sahip olabileceği anlamına gelir.
Otomatik ve ayrım gözetmeyen saldırılar, donanım ve yazılımdaki tanımlanabilir güvenlik açıklarını, bunlara sahip olan kuruluştan bağımsız olarak hedefler.
Bu güvenlik açıkları, yama uygulanmamış yazılımları, yetersiz parolaları, kötü kodlanmış web sitelerini ve güvenli olmayan uygulamaları içerir.
Sızma testi gerçekleştirmeniz gereken mantıksal nokta, ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi kapsamına dahil edilecek varlıkları tanımladığınız andır.
Penetrasyon testi sonuçları, güvenlik açıklarını, bunları istismar edebilecek tehditle birlikte ayrıntılı olarak tanımlayacak ve genellikle uygun düzeltici eylemi de belirleyecektir.
Tespit edilen tehditler ve güvenlik açıkları, risk değerlendirmeniz için önemli bir girdi oluştururken, tespit edilen düzeltici eylem, kontrol seçiminizde size bilgi verecektir.
BGYS projenizde sızma testinin önemli bir katkı sağladığı belirli noktalar vardır:
- Risk değerlendirme sürecinin bir parçası olarak, İnternet’e bakan IP adreslerindeki, web uygulamalarındaki veya dahili cihaz ve uygulamalardaki güvenlik açıklarını ortaya çıkarmak ve bunları tanımlanabilir tehditlerle ilişkilendirmek.
- Risk işleme planının bir parçası olarak, uygulanan kontrollerin tasarlandığı gibi çalışmasını sağlamak.
- Devam eden sürekli iyileştirme süreçlerinin bir parçası olarak, kontrollerin gerektiği gibi çalışmaya devam etmesinin ve yeni ve ortaya çıkan tehditlerin ve güvenlik açıklarının belirlenip ele alınmasının sağlanması.
Secrise firmasında sızma testi nasıl işletilir?
Sizinle bir çalışma kapsamı üzerinde anlaşmaya vardıktan sonra, güvenlik hedeflerinizi ve iş, düzenleyici ve sözleşme gerekliliklerinizi göz önünde bulundurarak ayrıntılı test planları üzerinde anlaşacağız.
Profesyonel test ekibimiz daha sonra kararlaştırılan testleri gerçekleştirecektir:
- İnternete bakan IP adreslerine, web uygulamalarına ve bu tür diğer hizmetlere odaklanan harici testler.
- Ağınızı oluşturan kablosuz cihazlar da dahil olmak üzere cihazlara ve bunlar üzerinde çalışan çeşitli uygulamalara ve işletim sistemlerine odaklanan yerinde testler.
Testlerimizi tamamladıktan sonra, bulgularımızı ortaya koyan ayrıntılı bir rapor hazırlayacağız. Bu rapor, herhangi bir güvenlik açığının değerlendirmesini ve uygun düzeltme için önerilerimizi içerecektir.