Yiğit TURAK

Sızma Testi (Penetration Test)

| Şubat 22, 2011 |

Sızma testleri günümüz bilgi sistemleri için yüksek seviyede önem arz eden güvenlik denetimi başlıklarından bir tanesidir. Penetration test; kurum ve kuruluşların bilgi sistemlerini veya bilgisayar ağlarını önceden belirlenen senaryolar doğrultusunda kontrollü bir şekilde sınanmasıdır.

Sızma testleri belli senaryolar üzerine olsa da güncel denemeler (applications, exploits, tools …) yapıldığından dolayı, kurum ve kuruluşların günlük hayatta maruz kalabilecekleri tehdit ve bunların sonucunda ortaya çıkabilecek durumları gözler önüne sermektedir.

Penetration testler dünya genelinde 3 başlık altında kategorilendirilmiştir:

Blackbox: Kurum ve kuruluşlardan, kullanılan bilgi sistemleri hakkında bilgi alınmadan; önceden belirlenen sızma senaryolarını uygulanmasıdır. (Tabiri caizse “bodoslama dalmak” deyimi bu bölüm için kullanılabilinir. 🙂 )

Whitebox: Kurum ve kuruluşların bilgi sistemleri uzmanları tarafından, kullandığı sistemler hakkında detaylı bilgiler öğrenildikten sonra oluşturulan sızma senaryolarının yürütülmesidir.

Greybox: Whitebox ile Blackbox karışımı olan bir kategoridir. Sızma testi sadece belirli sistemlere yapılır ve bu sistemler hakkında detaylı bilgilendirme yapılmadan sistemlerin sınanmasıdır.

Penetration testler sırasında kurum ve kuruluşların sistemlerinde bulunan kritik seviyedeki güvenlik zafiyetlerinin hemen firmadaki yetkili kişilerle paylaşılması gerekmektedir.

Sistemler, bilgi güvenliği uzmanları tarafından öncelikle hazır araçlar ve programlarla taranır. Bu taramaların amacı sistem hakkında ön bilgi vermesidir. Daha sonrasında elde edilen bilgiler dahilinde yeni yol haritaları çıkarılır ve gerekli görülmesi halinde kuruma özel spesifik senaryolar da hazırlanabilir.

Sızma testi hizmeti veren firmaların, bilgi sistemleri hakkında tam donanımlı, yoğun ve stres altında çalışabilen uzmanlar çalıştırması gerekmektedir. Ciddi bir çalışma disiplini ve özveri bekleyen bu hizmet kesinlikle vulnerability scanning hizmetleriyle karıştırılmamalıdır. Çünkü vulnerability scanning hizmetinde belirli programlar kullanılarak tarama yapılır ve bu taramaların sonuçları raporlanır. Penetration testler de ise bu programların sonuçları sadece ön bilgi olarak kullanılıp, çeşitli senaryolar hazırlanır, manuel kontroller ve sınamalar yapılır, en son raporlaması yapılarak test sonuçlandırılır.

Yorumlar

Cevapla





    Anın Sözü

    Takip etmesi daha kolay

    Arama