Pentest Sızma Testi ile Kuruluşunuz Güvende!

Pentest sızma testi son dönemlerde popüler hale gelmiş bir terimdir çünkü siber korsanlar her türlü işletmeyi artık hedef alıyor. Korsanların saldırıları karşısında güvenli bir kuruluş olmanın ve kullanıcılara güven vermenin yolu ise sızma testi yaptırarak internet sitenizi ya da yazılımlarınızı güvence altına almak. Yazımızın devamında konuyu daha detaylı ele alacağız.

İçindekiler Tablosu

Pentest Sızma Testi Nedir?

Pentest sızma testi nedir? Sorusuna verilecek en net ve kısa yanıt şudur; bir uzman kuruluşunuzun internet sitesine saldırılar düzenler ve sonuçlarını analiz eder. Burada uzmanın amacı kötü niyetli bir saldırgan gibi düşünerek saldırıları o yönde yapmaktır. Bu sayede, gerçekten kötü niyetli kişilerin yapacakları saldırılar test edilir.

Bu testin sonucunda sitenizde var olan tüm açıklar tespit edilebilir. Web pentester ise size konuyla ilgili detaylı bir rapor sunarak açıkların nasıl giderileceğini anlatır. Önlem almanız halinde siteniz çok daha güvenlidir. Kullanıcılarınızın bilgileri de güvence altına alınır ve yasal yükümlülükler yerine getirilir.

Sızma Testi Nasıl Yapılır?

Sızma testleri yapılırken kuruluş önden incelenmektedir. Daha önce bir test yaptırıp yaptırmamış olmakta önem arz eder. En temelde 5 aşamadan oluşan testler çok daha detaylı da ele alınabilmektedir. Bu süreçte yapılacaklara uzmanlar karar vermektedir. Bu yüzden iyi bir uzman seçmek önemlidir.

Uzmanlar aşağıdaki 5 adımı mutlaka takip etmelidir;

Keşif
Tarama
Erişim
Erişimin devamlılığı
Rapor

Her aşamada farklı işlemler yapılır ve bu aşamalar birbirine bağlıdır. Bir aşamanın dahi atlanılması sitedeki güvenlik açıklarının tespit edilmesinde olumsuz etki eder.

Sızma Testi Neden Yapılır?

Kuruluşunuzun sitesinin SSL sertifikasının olması tamamen güvenli olduğu anlamına gelmez. İşinde gerçekten başarılı olan siber korsanlar sitenizin farklı bölümlerine erişim sağlayabilirler. Aynı zamanda, sizinle çalışan ekip arkadaşlarınızdan dahi korumanız gereken alanlar vardır.

Özellikle satış yapılan ya da kayıt olunması gereken sitelerde pentest sızma testi yapılması önemlidir. Bunun sebebi kullanıcıların bilgilerinin çalınmamasıdır. Bir siber korsan sitenize erişim sağladıktan sonra kayıt olan ya da alışveriş yapan kullanıcıların kişisel bilgilerine ya da kart bilgilerine rahatlıkla ulaşacaktır.

Test yaptırmak aynı zamanda işlerinizin aksamamasını da sağlar. Olası bir saldırıda ele geçirilen site bilgileri yüzünden işleriniz aksar. Özellikle dijital dünyada iş yapan bir kuruluş olarak kendinizi tanımlıyorsanız sitenizin güvenliğine önem vermelisiniz.

Ne Sıklıkla Test Yaptırmalıyım?

Bir kez test yaptıran kuruluşların en sık sorduğu sorulardan biri ne sık test yaptırmaları gerektiğidir. Sitenizde bir değişiklik olmadığı sürece test yaptırmanıza gerek yoktur. Ancak güvenlikle ilgili tüm yamalarda tekrardan test yaptırmanız önerilmektedir. Gelen yamaların kendilerine has açıkları olabilmektedir. Bu açıkları hemen tespit etmek için siber güvenlik testi yaptırmalısınız.

Ne sıklıkla test yaptırmanız gerektiğini aşağıdaki unsurlar belirlemektedir;

Şirket Büyüklüğü: Şirketiniz oldukça büyükse ve çevrimiçi varlıklarınız çoksa daha sık test yaptırmalısınız.
Bütçe: Bütçeniz kısıtlı ise daha az sıklıkla test yaptırabilirsiniz. Eğer bütçenizin yeterli olduğunu düşünüyorsanız farklı uzmanların sızma testlerine başvurmak daha güvenlidir.
Yönetmelikler: Sektörünüzde gerekli yükümlülükleri yerine getirmek adına daha sık ya da daha az test yaptırabilirsiniz.
Altyapı: Bulut sistemine sahipseniz ve sağlayıcınız teste izin vermiyor ise test yaptırmanıza gerek yoktur.

Yukarıda da gördüğünüz gibi ne sıklıkla sızma testi yaptırmalısınız? Sorusunun kesin ve net bir cevabı yoktur. Birden fazla değişken bu durumu etkiler.

Test Yaptıracağım Şirketi Ya Da Uzmanı Nasıl Seçebilirim?

Kuruluşunuzun için test yaptırmaya karar verdikten sonra yapmanız gereken şey doğru şirket ya da uzmanı seçmektir. Bu aşamada dikkat edebileceğiniz şeyler vardır. Nihai kararı vermeden önce detaylı araştırma yaptırmanızı öneriyoruz. Seçeceğiniz uzman sonuçları olumlu ya da olumsuz olarak etkileyecektir.

Referans: Uzmanın daha önce yaptığı işleri referans göstermesini isteyebilirsiniz. Bu referansların ne kadar güçlü olduğu ve kuruluşların mevcut durumu dikkate alınır.
Sertifika: Pentest sızma testi yapmak için sertifikaya sahip olmak gerekir. Bu sertifikaların sayısı ve niteliği arttıkça uzmanın bilgisi de artmaktadır. Bu sebeple uzmanın mutlaka sertifikaya sahip olup olmadığına bakmalısınız.
Tecrübe: Seçeceğiniz firma ya da uzmanın kaç yıllık bir tecrübesi olduğuna bakmalısınız. Tecrübe arttıkça uzmanın bakış açısı genişler ve kuruluşunuzla ilgili gerekli testleri daha iyi tespit eder.
Bütçe: Fiyatlandırma da testler konusunda önemlidir. Zaman zaman pentest sızma testleri çok pahalı olmaktadır. Bütçenize uygun bir firmayı seçmekte önemlidir. Ancak fiyat araştırması yaparken diğer kriterleri göz ardı etmemelisiniz.

Doğru uzmanı seçtiğinize inandıktan sonra testleri yaptırabilirsiniz. Test sonuçlarını ne kadar dikkate aldığınız da sonraki süreç için önemlidir. Sonuçlarda yer alan açıkların kapatılması için hemen aksiyon almalısınız. Aynı zamanda aldığınız önlemlerden sonra testi tekrarlayabilirsiniz. Böylece güvenlik açıklarının ne derece düzeltildiğini tespit edebilirsiniz.

Sitenizde ya da yazılımınızda bir değişiklik olmasa dahi 6 ayda bir ya da 12 ayda bir testleri tekrarlayabilirsiniz.

Author Profile

alikaanbashan: Merhaba, ben Ali Kaan BAŞHAN; Siber güvenlik adına keyifli bir hobi olarak başladığım bu uğraşımı, zaman içinde ilerleterek internet sitelerine web pentest hizmeti olarak sunmaya başladım. Ardından siber güvenlik adına bir blog açmaya karar verip, bu blogu açtım. İmza: Web Pentester Ali Kaan BAŞHAN