Penetrasyon Testleri
Penetrasyon testleri aslinda bir simülasyondur. Bilisim sektöründe kötü amaçli yazilimlarin içeriden disaridan sisteme verebilecegi zararlari önceden tespit ederek zayif kisimlar varsa bunlarin iyilestirmesi için tasarlanmis bir simülasyondur.
Özellikle önceden elde edilen tecrübeler dogrultusunda siber suçlularin normalde kullandiklari yöntemler kullanilmak suretiyle bir isletmenin alt yapi sistemlerine yapilan saldirilarin sizmalarin yada ele geçirme girisimlerinin test edilmesiyle isleme baslanir. Bu Sekilde konunun uzmanlari normalde de kullanilan çok çesitli yollar ile sisteme sizabilmek için çalisirken olasi açiklari ve eksiklikleri de tespit etmektedirler. Eger sistemde bir açiklik varsa bunun onarilmasi için de nokta atislar yapmalari saglanmis olmaktadir. Penetrasyon testlerinde gerek lisansli gerekse açik kodlu araçlar kullanilabilmekte iken o isletme için özel olarak tasarlanmis testlerde uygulanarak zafiyetler açiklar tespit edilmekte ve onarilabilme kapatilabilme olanagi saglanmis olmaktadir.
Penetrasyon testleri ayni zamanda sizma testleri olarak ta adlandirilmaktadir. Özellikle kuruluslarin alt yapilarinda bulunma ihtimali olan zafiyetleri ve açiklari tespit etmek suretiyle, bu açiklarin sanal korsanlar tarafindan tespit edilerek zarara ugratilmadan önce profesyonel danismanlar tarafindan tespit edilmek suretiyle bu alanlarin onarilmasi açiklarin kapatilmasi için olusturulan testler bütünüdür. Sizma testlerinde en önemli durum önleyiciliktir. Yapilan çalismalar isletmenin zarar görmeden önce olasi açik ve hatalarin tespit edilmesi üzerine kurgulanmistir. Bu noktada gerekli testler yapilmadan sisteme yapilan korsan girisler önü alinamayacak telafisi mümkün olmayan zararlar verme potansiyeline sahiptir. Bu amaç dogrultusunda öncelikle saldiri yada sizma gerçeklesmeden önce kesinlikle bu testlerin yapilmasi ve olasi açiklarin tespit edilmesi gerekmektedir. Sadece bu açiklarin tespit edilmesi kesin sonuç elde etmemize yetmemektedir. Bu konuda yetistirilmis uzmanlarin oldugu bilisim ile ilgili danismanlik sirketleri tarafindan bulunan açiklar tam ve kesin olarak kapatilmali ve olasi saldirilarin önlenmesi saglanmalidir.
Penetrasyon testlerinin amaçlarini su sekilde siralamak mümkündür;
-
Kurumlarin özellikle güvenlikle ilgili kontrol ve politikalarini denetlemek ve test etmektir.
-
Alt yapida yada yazilimda olmasi öngörülebilen olasi açiklarin tespit edilmesi ve çözümlenmesidir.
-
Kurumlarin güvenlikle ilgili kapasitesi hakkinda kapsamli analizler yaparak bu konudaki maliyet durumunun düzenlenmesi ve ortaya konulmasi noktasinda veriler elde edilmesini saglamak.