Sızma testi yaptırmadan arkanıza yaslanmayın Her kurumun ayrıca şirketin kendine saklaması gereken bilgilendirmeler vardır. Bilgisayar …
Sızma testi yaptırmadan arkanıza yaslanmayın
Her kurumun ayrıca şirketin kendine saklaması gereken bilgilendirmeler vardır. Bilgisayar korsanları ya da hacker denilen kişiler, çoğunlukla bu bilgilendirmeler karşılığında bir şey almak için saldırırlar. İşte tam bu noktada, kısa adı PENTEST olan penetrasyon ya da sızma testinin önemi ortaya çıkıyor.
Değişim her alanı ciddi şekilde etkiliyor. İster dünya lideri, ister bir mahalle esnafı olun dünyadaki bu değişimden nasiplenmemek imkansız. Herkes teknoloji kullanıyor ayrıca hızla değişen teknolojiler birçok güvenlik riskleri de barındırıyor. İş dünyası bugünlerde daha çok sistemlere sızma, bilgileri ele geçirme, özel bilgilere erişimi konuşuyor. Kısa adı PENTEST olan penetrasyon testi ya da çok bilinen adıyla sızma testi burada kilit rol oynuyor.
NEDEN SIZMA TESTİ YAPTIRMALISINIZ?
Bilişim sistemlerine illegal bir sızma gerçekleştiğinde kurumlara açtığı zarar çok yüksek olabilmektedir. Siber saldırılar maddi zarar vermekle birlikte iş gücü ayrıca prestij kaybına da neden olmaktadır.
Sızma testlerinde siber suçluların kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ayrıca sistemler ele geçirilmeye çalışılır. Penetrasyon testi yapan siber güvenlik uzmanları, siber saldırgan gibi düşünüp sisteme sızma ayrıca ele geçirme senaryolarını uygulayarak, gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının belirlenmesini sağlamaktadırlar.
Sızma testinde standartların üstüne çıkılması gerektiğini söyleyen BeyazNet Genel Müdürü Fatih Zeyveli, “Sızma testi akreditasyonları, sertifikalı uzman kadro, lisanslı özel yazılımlar gibi standartlar artık günümüzdeki test ihtiyacını karşılamıyor. Bununla birlikte, farklı ortamlarda tecrübe çok önemli. Cyber Kill Chain tekniğinin tam uygulanması, kuruma ayrıca uygulamalara özel saldırı senaryolarının belirlenmesi artık mutlaka olması gerekenlerden. Bizim hem hacker tekniklerini, hem de yazılım kodlama tekniklerini bilen uzmanlarımız sayesinde daha doğru ayrıca daha fazla bulgu veriyoruz. Sızma testlerinin var olan zaafiyetlerin ne kadarını bulabildiği önemli. Detaylı analizlerimiz, farklı ortamlarda tecrübelerimiz ayrıca güçlü sistematiğimiz ile benzersiz raporlar üretiyoruz. Çıkan rapor çok gizli ayrıca özel olduğu için bizde dahi kalmıyor.” şeklinde konuştu.
SIZMA TESTİ RAPORU TESTİ YAPANDA KALMAMALI
Sızma testinin ardından, bulgular ayrıca çözümleri içeren, yönetmeliklere (EPDK, BDDK, Cumhurbaşkanlığı Bilgilendirme Güvenliği Rehberi vb.) ayrıca Uluslararası Otoritelere (OWASP, NIST, ISSAF, PCI-DSS, PTES vb.) uyumlu raporlar üretiliyor.
Sızma testi raporları kurumlar için risk oluşturabilecek çok gizli bilgilendirmeler içerir. Raporların güvenli iletilmesi için şifreli rapor iletim altyapısı mutlaka olmalıdır. Rapor erişimi ayrıca dosya her vakit şifreli olarak saklanmalıdır. Tüm raporlar, doğrulama testlerinden belirli bir süre sonra silinmelidir. Sızma testi uzmanlarının bilgisayarlarında çalıştığı aktif projeler haricinde hiç bir dosya tutulmamalı ayrıca sistem sürekli denetlenmelidir. Böylece raporlar sadece kurum tarafında özenle korunmalıdır.
SIZMA TESTİNDE AKREDİTASYON ÖNEMLİ
Sızma testi her siber güvenlik şirketinin yapabileceği bir çalışma olmasına rağmen, raporlamadan sonuçlara kadar ekibin yetkinliği çok önem kazanmaktadır. TSE Onaylı A sınıfı Sızma Testi firması olması gerekir. Kalite Belgeleri (ISO 27001, ISO 9001, ISO 22302, ISO 20000-1, vb) ile bunu ve belgelendirmelidir. Siber Küme Üyesi olması daha etkin ayrıca kendini geliştirdiğini göstermektedir. Bütün bunlara ek olarak, uzmanlığı en üst düzeyde olan kurumlara verilen NATO Tesis Güvenlik belgesi olması sızma testini yapan kurumun gücünü göstermektedir.