Sızma Testi

SIZMA TESTİ DANIŞMANLIĞI

Siber tehditler; kişilerin, kurumların ve ülkelerin bilgi varlıkları ve teçhizatlarını hedef alan, onların mahremiyet, güvenlik ve iş görmesini bozan her türlü siber saldırılar ve yetkisiz müdahalelerdir. Siber korsanlar her geçen gün siber ortamda bulunan varlıklara sızmak için yeni yöntemler geliştirmektedirler. Sanal ortamda gerçekleştirilen bu eylemler karşısında olayın kurbanı olan işletmeler ve bireyler gerek maddi gerekse manevi olarak mağdur olmaktadırlar. Siber saldırılardaki amaç; bilginin güvenliğini sağlamaya yönelik üç temel unsur olan gizlilik, bütünlük, erişilebilirlik prensiplerinin olumsuz yönde etkilenmesine neden olmaktır.Siber saldırıya maruz kaldığında karşılaşılacak olumsuzluklar:

Eğer düşmanı ve kendini tanıyorsan, yüz kere de çarpışsan düşmandan korkmana gerek yok. Eğer kendini tanıyorsan ama düşmanını tanımıyorsan, kazandığın her zafer için bir de yenilgi acısı tadarsın. Eğer ne kendini ne de düşmanını tanıyorsan, her savaşta bozguna uğrarsın.

Risk Yönetimi

Bilgilerin Çalınması

 

 

Sistemin Bozulması

Bilgilerin Değiştirilmesi

Bilgilerin Yokedilmesi

 

 

Hizmetin Engellenmesi

Risk Analizi Nedir?

Bilgi Sistemlerinin üzerinde gerçekleşecek bu zararların engellenmesi iyi bir risk yönetimi yapmakla mümkün olacaktır. Siber güvenlik sürecini bir yaşam döngüsü olarak tanımlarsak, bu yaşam döngüsünün merkezinde kuşkusuz etkili bir risk analizi ve değerlendirmesi yer almaktadır.

Siber güvenlik yaşam döngüsünün merkezinde yer alan siber güvenlik risk analizi değerlendirmesini düşmanı tanımak, çevresinde yer alan tedbirleri ise kendimizi tanımak olarak değerlendirebiliriz. Bu kapsamda, dijital ortamda karşılaşabileceğimiz tehditleri anlamak ve zafiyetlerimizin farkına varmak ideal siber güvenlik modelini oluşturacak en önemli etkendir. Siber Güvenlik Risk Analizi, Tehdit ve Hazırlık değerlendirmesiSızma Testi ve Zaafiyet Değerlendirmesi/Taraması kavramlarını kapsayan bir süreçtir.

Sızma Testi Nedir?

Sızma testleri veya bir diğer adıyla penetrasyon testleri, bir sistemde bulunan açıklık ve zafiyetleri tespit etmek, bu açıklıkların bilgisayar korsanları tarafından suistimal edilmesinin önüne geçmek  ve ilgili bilişim sistemini daha güvenli hale getirmek için yapılan güvenlik testleridir.

Sızma testleri yasal bir hizmettir ve sadece uluslararası düzeyde akreditasyona sahip yetkili kişiler tarafından yapılmalıdır. penetrasyon testinde hedef ilgili açıklıktan faydalanarak sisteme zarar vermeyecek şekilde ağa sızmak ve yetkili erişimler elde etmektir.

Neredeyse hergün onlarca açıklığın ortaya çıktığı  günümüzde, bilişim dünyasında yer alan firmalar ve şahısların daha aktif davranmaları ve sorumlulukları altında bulunan bilişim varlıkları korumak için sızma testleri (pentest) gerçekleştirmeleri mecburiyet halini almıştır. Bilişim sistemlerinde olması muhtemel açıklıkların uzman ekipler tarafından kontrol edilmesi ve gerekli önlemlerin alınması proaktif güvenlik ilkesinin gereğidir.

Bilişim varlıklarının korunması kapsamında iki tür güvenlik yöntemi vardır.

Birincisi pasif güvenlik (defensive security) uygulamaları diğeri ise proaktif güvenlik (offensive security) uygulamalarıdır. Sızma Testi çalışmaları proaktif güvenlik kategorisine dahil edilmektedir.