[Optimum Quality Counseling]
Eğitim


Penetrasyon (Sızma Testi)

ıso 27019

Zafiyet Analizi nedir?

Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir. 

Penetrasyon (Sızma) Testi nedir?

Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Sızma Testi bu sorulara cevap bulunmasına yardımcı olur.

Sızma Testi çeşitleri nelerdir?

Aktif olarak gerçekleştirilen üç çeşit Sızma Testi vardır. Bunlar hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Belirtilen unsurlara bağlı kalarak firmaya/kuruma uygulanacak Sızma Testi farklılık göstermekte ve her biri farklı sorunların çözümüne yöneliktir.

  • İçerden (Internal) Penetrasyon Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar.
  • Dışardan (External) Penetrasyon Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.
  • Web Uygulamalrında (Web Application Penetrasyon Test: 'External Penetration Test' ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.

Sızma Testi yöntemleri nelerdir?

  • Siyah Kutu (Blackbox): Bilgi Güvenliği Uzmanı'na testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez. 
  • Beyaz Kutu (Whitebox & Crystalbox): Bilgi Güvenliği Uzmanı'na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
  • Gri Kutu (Graybox): 'Whitebox & Crystalbox' ile 'Blackbox' arasında olan bir Sızma Testi yöntemidir. Bilgi Güvenliği Uzmanı'na yapı ve/veya sistemler hakkında 'detaylı' bilgi verilmez.

(*) 'Whitebox & Crystalbox' ve 'Graybox' yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. 'Blackbox' yöntemi, "saldırgan gözüyle sistemlere 'sızılmaya' çalışılması" olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, 'Whitebox & Crystalbox' ve 'Graybox' daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.