BeyazNet'ten yapılan açıklamaya göre, iş dünyası bugünlerde daha çok sistemlere sızma, bilgileri ele geçirme, özel bilgilere erişimi konuşuyor. Kısa adı PENTEST olan penetrasyon testi ya da çok bilinen adıyla sızma testi burada kilit rol oynuyor.
Bilişim sistemlerine illegal bir sızma gerçekleştiğinde kurumlara açtığı zarar çok yüksek olabiliyor. Siber saldırılar maddi zarar vermekle birlikte iş gücü ve prestij kaybına da neden oluyor.
Sızma testlerinde siber suçluların kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve sistemler ele geçirilmeye çalışılıyor. Penetrasyon testi yapan siber güvenlik uzmanları, siber saldırgan gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak, gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının belirlenmesini sağlıyor.
Açıklamada görüşlerine yer verilen BeyazNet Genel Müdürü Fatih Zeyveli, sızma testinde standartların üstüne çıkılması gerektiğini belirtti. Sızma testi akreditasyonları, sertifikalı uzman kadro, lisanslı özel yazılımlar gibi standartların artık güncel test ihtiyacını karşılamadığının altını çizen Zeyveli, "Bununla birlikte, farklı ortamlarda tecrübe çok önemli. Cyber Kill Chain tekniğinin tam uygulanması, kuruma ve uygulamalara özel saldırı senaryolarının belirlenmesi artık mutlaka olması gerekenlerden. Biz, hem hacker tekniklerini, hem de yazılım kodlama tekniklerini bilen uzmanlarımız sayesinde daha doğru ve daha fazla bulgu veriyoruz."
- Sızma testi raporu testi yapanda kalmamalı
Sızma testinin ardından, bulgular ve çözümleri içeren, yönetmeliklere (EPDK, BDDK, Cumhurbaşkanlığı Bilgi Güvenliği Rehberi vb.) ve Uluslararası Otoritelere (OWASP, NIST, ISSAF, PCI-DSS, PTES vb.) uyumlu raporlar üretiliyor.
Sızma testi raporları kurumlar için risk oluşturabilecek çok gizli bilgiler içeriyor. Raporların güvenli iletilmesi için şifreli rapor iletim altyapısının mutlaka olması gerekiyor. Rapor erişimi ve dosyanın her zaman şifreli olarak saklanması önemli oluyor.
Tüm raporlar, doğrulama testlerinden belirli bir süre sonra silinmelidir. Sızma testi uzmanlarının bilgisayarlarında çalıştığı aktif projeler dışında hiç bir dosya tutulmamalı ve sistem sürekli denetlenmelidir. Böylece raporlar sadece kurum tarafında özenle korunmalıdır.
Sızma testi her siber güvenlik şirketinin yapabileceği bir çalışma olmasına rağmen, raporlamadan sonuçlara kadar ekibin yetkinliği çok önem kazanıyor. TSE Onaylı A sınıfı Sızma Testi firması olması gerekir. Kalite belgeleri (ISO 27001, ISO 9001, ISO 22302, ISO 20000-1, vb) ile bunu ayrıca belgelendirmelidir. Siber Küme Üyesi olması daha etkin ve kendini geliştirdiğini göstermektedir. Bütün bunlara ek olarak, uzmanlığı en üst düzeyde olan kurumlara verilen NATO Tesis Güvenlik belgesi olması sızma testini yapan kurumun gücünü göstermektedir.
(AA)
Emra Can YILDIRIM