Sızma Testi Nedir?
Sistem güvenliğini test etmek amacıyla, yetkilendirilmiş yani bilerek yapılan saldırılar sonucu açıkların ortaya çıkarabilmek adına yapılan testlere sızma testi veya penetrasyon testi denir. Alanında tecrübeli kişiler tarafından dikkatle uygulanan sızma testleri; tıpkı kötü amaçlı siber saldırıları yapan kişilerin kullandığı yöntemleri kullanarak sistemlerdeki açıkları tespit etmeye çalışır. Penetrasyon testlerine kısaca ‘Pentest’ adı verilir.
Penetrasyon testleri sayesinde; kurum ve kuruluşlar sistemlerindeki açıkları kapatır ve olabilecek saldıralara karşı sistemlerinde güvenlik önlemleri alır. Olası herhangi bir saldırıda önceden önlem aldıkları için herhangi bir kayıp almadan saldırıyı aşarlar. Sızma testini yapan kişinin sistem ile ilgili hiçbir erişiminin ve yetkisinin olmaması gerekmektedir.
Ulusal Siber Güvenlik Merkezi’nin sızma testi için tanımı ise şöyledir; “bir saldırgan ile aynı araç ve teknikleri kullanarak bir BT sisteminin güvenliğinin bir kısmının veya tamamın ihlal edilmeye çalışılmasıyla sistemin güvenliğinin güvence altına alınması”
Sızma testi yani Penetrasyon testi üç farklı şekilde gerçekleşir;
Blackbox Penetrasyon Testi: Blackbox testlerinde testi yapacak kişi/kişiler ile kurum yetkileri arasında herhangi bir bilgi alışverişi olmaz.
Graybox Penetrasyon Testi: Pentest yapılacak kişiye sınırlı bilgi paylaşımı yapılır.
Whitebox Penetrasyon Testi: Bu tür testlerde kurum yetkilileri Pentest yapacak kişilere sistem ve işleyişi hakkında bilgi verir.
Türkiye’de BDDK ve SPK’ya bağlı tüm kuruluşların sızma testi yaptırmaları mecburidir.