Siber Güvenlik Blogu - Ali Kaan BAŞHAN

Siber güvenlik blogu

Siber Güvenlik Testi Nedir?

5
(2)

Siber güvenlik testi, alanında uzman kişiler tarafından yasal tüm gereklilikler yerine getirilerek yapılan ve bir sitede var olabilecek açıkları önceden tespit etmeyi amaçlayan bir test türüdür. Test sonucunda güvenlik açıkları, bu açıkların risk düzeyi ve problemlerin çözümü için öneriler yer almaktadır. Aynı zamanda sızma testleri veya pentest olarak da bilinmektedir.

Siber Güvenlik Testi Neden Yapılmalıdır?

Siber tehditler son dönemlerde gündemimizde olan bir konu olsa dahi yazılım sahipleri neden siber güvenlik testi yaptırmaları gerektiğini daha iyi anlamak istiyor. Bu testi yaptırmanızı gerektiren ilk konu yazılımınızı üçüncü taraflardan korumaktır.

Sisteminizde yer alan olası problemleri tespit etmemek ve bu problemleri çözmemek siber saldırılara maruz kalmanızı ve sisteminizin büyük ölçüde zarar görmesini sağlayabilir. Yapılan bir araştırma var olan tüm sistemlerin ilk testlerde en az bir problem içerdiğini ortaya koyuyor. Tam da bu sebeple düzenli olarak test yaptırmalı ve güvenlik önlemlerinizi artırmalısınız.

Aynı zamanda, sisteminizi ne kadar iyi koruduğunuzu düşünseniz dahi profesyoneller tarafından yapılan testler gerekli tüm noktalara bakılmasını sağlamaktadır. Üçüncü bir göz sizin göremediğiniz güvenlik açıklarını daha iyi tespit eder. Üstelik, bu açıklara çözüm önerileri sunarak güvenliği sağlarlar.

Siber Güvenlik Testleri Nasıl Yapılır?

Siber güvenlik testleri birden fazla yöntemle yapılabilmektedir. Genellikle hangi yöntemin kullanılacağı uzman tarafından belirlenir. Uzmanlar yöntem seçerken test yapacakları kurumla ilgili ön bilgi toplarlar ve doğru yönteme karar verirler. Aynı zamanda kuruluş sahibinin beklentileri de dinlenir.

Aşağıda üç temel sızma testi hakkında detaylı bilgiyi listeledik;

  1. Kara Kutu Sızma Testi (Black Box): Bu test türünde uzmanın sistem hakkında bir ön bilgisi bulunmamaktadır. Uzman, hedefi belirler ve kötücül bakış açısı ile saldırılar düzenler. Daha sonra sistemin bu saldırılar karşısındaki durumunu raporlar.
  2. Gri Kutu Sızma Testi (Grey Box): Uzmanın sistem hakkında belli başlı bilgisi bulunur. Testin amacı ise kuruluş içindeki tehditleri tespit etmektir. Yetkisi yüksek olmayan kullanıcıların verebileceği tüm zararlar denetlenir.
  3. Beyaz Kutu Sızma Testi (White Box): Uzman, sistem hakkında tüm bilgilere sahiptir ve olası tüm saldırıları simüle eder. Mevcut olan ve kabul edilmiş üç test arasında en kapsamlı olan test olarak görülmektedir. Genellikle, daha önce test yaptırmamış kuruluşlar tarafından tercih edilir.

Testlerin tümü farklı olası güvenlik problemlerinin tespiti için yapılmaktadır ve ihtiyaçlara göre hangi/hangilerinin uygulanacağına karar verilir.

Sızma Testi Aşamaları Nelerdir?

Siber güvenlik testi belli aşamalar takip edilerek yapılmaktadır ve ancak bu şekilde yapıldığında doğru sonuçlar verir. Bu sebeple doğru uzmanla çalışmak önemlidir. Adımlardan herhangi birinin atlanması halinde test sonuçlarının güvenilirlik oranı azalabilir.

En temelde sızma testleri 5 aşamadan oluşmaktadır;

  • Keşif: Genel bilgilerin toplandığı ve sistemin detaylı bir şekilde analiz edildiği bu aşama, test sürecinin en uzun süren aşaması olarak kabul edilir. Keşif aşamasında aynı zamanda hangi test yönteminin kullanılacağına karar verilir.
  • Tarama: Keşif aşamasında toplanan bilgiler tarama aşamasında kullanılır. Açık port ve servis bilgileri toplanır ve ağ taraması yapılır.
  • Erişim: Adından da anlaşılacağı üzere bu aşamada sistemin ulaşılmaması gereken noktalarına erişmeye çalışılır. Sistem kaynaklarına XSS gibi saldırılar düzenlenir.
  • Erişimin Devamlılığı: Saldırı yapılan noktada kalmaya ve daha etkili işlemler yapmaya çalışılır.
  • Analiz: Tüm testler tamamlandıktan sonra ilgili kuruma detaylı bir rapor sunulur. Bu raporda tespit edilen tüm güvenlik açıkları, doğurabileceği problemler ve olası çözümleri yer alır. Testin en önemli aşaması olarak da görülür.

Siber güvenlik testi, yukarıdaki aşamalar sayesinde yalnızca var olduğu bilinen problemleri değil, aynı zamanda tahmin edilmeyen problemleri de gün yüzüne çıkarır. Bu sebeple kuruluşunuz için sızma testi yaptırmak önemlidir.

Sızma Testinin Faydaları Nelerdir?

Siber güvenlik testleri belirli faydalar sağladıkları için yapılmaktadır. Bu faydalar iyi anlaşıldığında her kuruluş ihtiyacı doğrultusunda belirli aralıklarla bu testleri yaptırmaktadır. Bir test yaptırdıktan sonra elde edeceğiniz en temel fayda güvenliktir.

Aşağıda test sonucunun faydalarını detaylı bir şekilde bulabileceksiniz;

  1. İlgili kuruluşun itibarını korur ve güçlendirir.
  2. Varsa yasal zorunluluklara uygunluk sağlar.
  3. İş sürekliliğini sağlar, kesinti yaşanmasını engeller. Böylece müşteri memnuniyetini artırır.
  4. Siber riskler her zaman vardır ancak bu testler riskleri tespit eder ve azaltır.
  5. Saldırıların olası sonuçlarını önceden belirler.

Bir siber güvenlik testi kuruluşun iş süreçlerinde aksama olmasını engeller ve güven veren bir firma haline getirir. Sistemi kullanan kullanıcıların bilgilerinin korunmasını sağlar. Bu durum ise var olunan sektörde güvenilir bir marka olmanın adımlarından biridir.

Siber Güvenlik Testi Kime Yaptırılmalıdır?

Bir test yaptırmaya karar verdikten sonra yapmanız gereken en önemli şey testi kime ya da kimlere yaptıracağınıza karar vermektir. Bu aşamada detaylı bir araştırma yapmanız gerekir. Güvenilir bir test sonucu elde etmezseniz olası problemleri analiz edemez ve çözemezsiniz. Karar aşamasında dikkat edebileceğiniz bazı noktalar bulunmaktadır.

  • Testi yapacak kişi ya da kişilerin özgeçmiş bilgisini talep edin.
  • İmkânınız varsa referanslar ile iletişime geçerek memnuniyetleri hakkında fikir edinin.
  • Test süreçleri hakkında detaylı bilgileri öğrenin. Her aşamanın gerçekleştirildiğinden emin olun.
  • Uzmanların eğitimlerini ve tecrübelerini sorun.
  • Sisteminize önceden açıklar yerleştirin ve tespit edip edemediklerini kontrol edin.

Siber güvenlik testi fiyatları firma ve kişilerin tecrübelerine ve fiyat politikalarına göre değişiklik göstermektedir ancak sektörde belirlenen ortalama fiyatın çok altında fiyatlara itibar edilmemelidir. Yukarıda belirtilen noktalara dikkat ederek kuruluşunuz için uygun firmayı seçebilirsiniz.

Bu yazıyı beğendin mi?

Oylamak için yıldıza dokunun!

Ortalama Puan 5 / 5. Oylama puanı: 2

Daha oylayan olmadı, ilk oylamak ister misin?

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Author Profile

alikaanbashan
Merhaba, ben Ali Kaan BAŞHAN; Siber güvenlik adına keyifli bir hobi olarak başladığım bu uğraşımı, zaman içinde ilerleterek internet sitelerine web pentest hizmeti olarak sunmaya başladım. Ardından siber güvenlik adına bir blog açmaya karar verip, bu blogu açtım. İmza: Web Pentester Ali Kaan BAŞHAN

You may also like...

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir