Bilişim sistemlerine illegal bir sızma gerçekleştiğinde kurumlara açtığı zarar çok yüksek olabilmektedir. Siber saldırılar maddi zarar vermekle birlikte iş gücü ve prestij kaybına da neden olmaktadır.
Sızma testlerinde siber suçluların kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve sistemler ele geçirilmeye çalışılır. Penetrasyon testi yapan siber güvenlik uzmanları, siber saldırgan gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak, gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının belirlenmesini sağlamaktadırlar.
Sızma testinde standartların üstüne çıkılması gerektiğini söyleyen BeyazNet Genel Müdürü Fatih Zeyveli, “Sızma testi akreditasyonları, sertifikalı uzman kadro, lisanslı özel yazılımlar gibi standartlar artık günümüzdeki test ihtiyacını karşılamıyor. Bununla birlikte, farklı ortamlarda tecrübe çok önemli. Cyber Kill Chain tekniğinin tam uygulanması, kuruma ve uygulamalara özel saldırı senaryolarının belirlenmesi artık mutlaka olması gerekenlerden. Bizim hem hacker tekniklerini, hem de yazılım kodlama tekniklerini bilen uzmanlarımız sayesinde daha doğru ve daha fazla bulgu veriyoruz. Sızma testlerinin var olan zaafiyetlerin ne kadarını bulabildiği önemli. Detaylı analizlerimiz, farklı ortamlarda tecrübelerimiz ve güçlü sistematiğimiz ile benzersiz raporlar üretiyoruz. Çıkan rapor çok gizli ve özel olduğu için bizde dahi kalmıyor” şeklinde konuştu.
Sızma testi raporu, testi yapanda kalmamalı!
Sızma testinin ardından, bulgular ve çözümleri içeren, yönetmeliklere (EPDK, BDDK, Cumhurbaşkanlığı Bilgi Güvenliği Rehberi vb.) ve Uluslararası Otoritelere (OWASP, NIST, ISSAF, PCI-DSS, PTES vb.) uyumlu raporlar üretiliyor.
Sızma testi raporları kurumlar için risk oluşturabilecek çok gizli bilgiler içerir. Raporların güvenli iletilmesi için şifreli rapor iletim altyapısı mutlaka olmalıdır. Rapor erişimi ve dosya her zaman şifreli olarak saklanmalıdır. Tüm raporlar, doğrulama testlerinden belirli bir süre sonra silinmelidir. Sızma testi uzmanlarının bilgisayarlarında çalıştığı aktif projeler dışında hiç bir dosya tutulmamalı ve sistem sürekli denetlenmelidir. Böylece raporlar sadece kurum tarafında özenle korunmalıdır.
