Sızma testi, penetrasyon testi veya penetration test; test edilen sistemlerdeki bilgisayarlar, sunucular, güvenlik duvarları, ağ sistemleri ve uygulamaların siber güvenlik etkinliklerini değerlendirmek için yetkilendirilen etik hackerlar tarafından yapılan bir saldırı türüdür.
Sızma testi, ilgili sistemdeki güvenlik açıklarını değerlendirmek ve testten sonra güvenlik açıklarını ortadan kaldırmak için bir sistemde izin verilen bir saldırı simülasyonu gerçekleştirmek olarak da bilinir. Dijital ortamda tutulan kişisel verilerin siber saldırı sonucu sızmasını önlemek için kurum içerisinde sızma testi yaptırmak, siber güvenlik açıklarınızı tespit etmek ve kapatmak için önemlidir.
Bunun yanında Kişisel Verilerin Korunması Kurumu tarafından yayınlanan teknik tedbirler rehberinde sızma testine yer verilmiştir.
Regülatif Zorunluluklar: KVKK, ISO27001, TSE-Güven Damgası gibi sertifikasyonlara sahipseniz ya da edinmek istiyorsanız, bilişim sistemlerinizi yetkili bir kurum tarafından düzenli olarak denetletmeli ve raporlamalısınız.
Veri ve İtibar Kaybı Riski: Bilişim sistemlerinize yapılacak herhangi bir saldırıda hassas verilerinizi kaybedebilir, marka itibarınız da zarar görebilir. Bu nedenle hassas verilerinizin güvende olduğundan her zaman emin olmalısınız.
İş Sürekliliği: Bilişim altyapısı bir kurumun can damarıdır ve kontrol altında olmaması iş akışlarını durma noktasına getirebilir. Bu nedenle bilişim altyapınıza yapılacak saldırılara önceden hazırlıklı olmalısınız.
BDDK Sızma Testi, en az aşağıdaki başlıkları içermektedir:
Sosyal mühendislik, ağ güvenliği, ddos testleri, internet üzerinden uygulama testleri vb birçok alanda bilgi teknolojilerine uzmanları tarafından testlerin yapılması, güvenlik açıklıklarının tespit edilmesinde en genel geçer korunma ve açıklık analizi yapma araçlarından birisidir. Özellikle iç sistemler üzerinden derinlemesi tarama ile açıklığa apaçık maruz kalabilecek hassas sistemlerin siber saldırılarına karşı bilgi güvenliği durumunun net fotoğrafı çekilebilir. ancak burada unutulmaması gereken 2 önemli unsur bulunmaktadır. Birinci unsur testleri kurumların ihtiyacına yönelik olmasıdır. İkinci unsur ise güvenlik uzmanlarının yapılacak testler için en uygun şekilde seçilmesi, firmadan çok sızma testlerini yapacak ekibin kalitesinin değerlendirilmesi yerinde olacaktır.
Güvenliği iyi bir hale getirmek için yapılan penetrasyon testleri sadece işin ilk boyutdur. Ancak bundan sonraki aşamanın daha zorlu olacağı unutulmamalıdır. Güvenlik testleri sonucu tespit edilen açıklıkların kapatılması da bir o kadar önemlidir. Çünkü güvenlik testleri sadece güvenlik açıklarının bilinmesini sağlar ancak bu durumun kapandığı anlamına gelmez.
Dilerseniz biraz sızma testlerinin detaylarını inceleyelim. Bazı durumda testler, 3 aşamalı test şeklinde olabilmektedir. Black box, gray box veya white box testler olarak adlandırılan bu aşamalı testler güvenlik uzmanına sağlanan bilgilerin miktarına göre değişen testlerdir. Örneğin bilgi güvenliği testlerinde hiç bir bilgi verilmeden yapılan testlere black box, bütün bilgilerin (şifreler vd bilgiler) sağlanmasıyla yapılan testlere ise white box testleri denir. Renginden de anlaşılacağı gibi gray box testler, sağlanan bilginin ne tam ne de eksik olduğu durumlarda yapılan testlere denir.
Bilinmesi gereken bir diğer konu da yapılan testleri sürekliliğidir. Değişen şartlar, eklenen yeni durumlar, yapılan bazı hatalar veya geçen zamanlar bir sistemi tekrar zafiyetli bir duruma getirebilir. Bu yüzden belli dönemlerde bu testlerin tekrarlanması ve sürekliliğin sağlanması gerekmektedir. Uzmanlar ve bu konuda yayınlanmış yayınlar yılda en az bir kez bu testlerin dış kaynaklı olarak yapılmasını ve işletmenin dışında bir gözün durumu gözlemlenmesini önermektedir.
Sızma testleri dışarıdan alınan bir güvenlik çözümü veya fiziksel bir koruma sistemi değildir. Dolayısıyla alınan hizmetin ölçümünü yapmak bulunan zafiyetin sayısına bakarak yapamazsınız. Bu yüzden alınan hizmetin detaylı raporunun sunulması ve gerekirse bir son oturum toplantısı ile yapılan çalışmanın detayları sorgulanmalı ve incelenmelidir. Bir diğer husus dış pentest hizmetinin sürekli aynı firmayla veya aynı uzman ile yapılmamasıdır. Sefer geçtikçe amaçlarından biri olan dış göz olgusu kaybolmaktadır. Bunu engellemek için iki senede bir firma değişikliği yapılması gerekmektedir/önerilmektedir.
Ülkemizde son yıllarda zorunlu hale getirilen ISO 27001 bilgi güvenliği standardı ve 6698 sayılı kişisel verilerin korunması kanunu (kısaca KVKK) güvenlik testlerini zorunlu kılmaktadır.