Penetrasyon Testi, Etik Hacking veya Red Teaming ile test edilmek mi istiyorsunuz? Cevabınız evet ise bu yazı tam size göre!
Güvenliği ölçmek zordur. Sistemleri (ve içindeki verileri) güvende tutmak için doğru güvenliğe sahip olduğunuzdan emin olmanın nispeten basit konseptini söylemek yapmaktan daha kolaydır.
Riski belirlemek, kontrolleri ölçmek, kontrollerin değerini (vb.) ölçmek için çeşitli metodolojiler vardır ve bunların her biri, bunları tamamlamak için değerlendirici tarafından değişen düzeyde uzmanlık gerektirir.
Penetrasyon Testi Nedir?
Sızma Testi veya yaygın olarak adlandırılan “Pentest”, gerçek saldırganlar tarafından kullanılanlara benzer metodolojiler kullanarak bir kuruluşun varlıklarının güvenlik zayıflıklarını değerlendirme sürecidir.
Sızma Testi, Güvenlik Açığı Değerlendirmesi (Vulnerability Assessment) midir?
Cevap açıkça “hayır”dır!
Bir Pentest, bir Güvenlik Açığı Değerlendirmesine eşit değildir ve birçok insan terimleri karıştırma eğilimindedir. Bir Sızma Testi talep eden müşterilerimizin aslında bir Güvenlik Açığı Değerlendirmesi istedikleri ya da tam tersini talep ettiklerini tecrübe ettik. Bu nedenle, bir Güvenlik Firması olarak bu iki terim arasındaki farkları açıklamanız çok önemlidir.
Güvenlik Açığı Değerlendirmesi:
- Yeterli miktarda güvenlik sorununu kapsar
- Düşük ve muhtemelen bazı riskli sorunları ortaya çıkarır
- Sonuçların kalitesi kullanılan tarayıcılara bağlıdır
- %90 civarında otomatik ve %10 civarında manuel çalışma
Penetrasyon Testi:
- Güvenlik açıklarının çoğunu kapsar
- Düşük önem derecesinden kritik olanlara kadar değişen sorunları ortaya çıkarır
- Sonuçların kalitesi, pentest ekibinin uzmanlığına bağlıdır.
- %10 civarında otomatik ve %90 civarında manuel çalışma
Pentest Türleri
Çeşitli pentest türleri vardır ve hepsine aşina olmanız gerekir, ancak bilerek seçim yaparak en doğru hizmeti ve ihtiyacınız olanı seçmeniz önerilir.
- Web Uygulamaları Sızma Testi
- Mobil Uygulama Sızma Testi
- Ağ ve Altyapı Sızma Testi
- İç/Dış Sızma Testi
- Sosyal Mühendislik Sızma Testi
- Diğer Sızma Testleri
- Kırmızı Takım: Hepsini birleştirir
Yeni siber saldırı türlerinin ortaya çıkmasıyla birlikte, işletmelere, siber güvenlik hizmetlerine ve test uzmanlarına olanak sağlamak için bir dizi fırsat ortaya çıkmıştır. Profesyonel büyümeyi hızlandırmak için belgelenmek ve belgelendirmek ileriye giden bir yoldur. Kapsamlı iş deneyiminden ve çeşitli verilen hizmetlerden bağımsız olarak, hiçbir şey aynı şeyi iddia eden bir sertifikadan daha yüksek sesle konuşamaz. Siber güvenlik bir zenginliktir ve sertifikalar bunu destekleyecektir. Bu maksatla firmamız sertifikanın önemini, verdiği ISO 15504/330xx SPICE Belgelendirme programıyla özümsemiş ve kavramıştır. Dolayısıyla kendi sızma test hizmetlerini de sertifikalandırmaya karar vermiştir.
Türk Standardları Enstitüsü (TSE), 2016 yılında yayınladığı TS 13638 Bilgi Teknolojileri – Güvenlik Teknikleri – Sızma Testi Yapan Personel Ve Firmalar İçin Şartlar adlı standardında Türkiye içinde sızma testi yapan firmalar için şartları tanımlamış ve firma seviyelerini belirlemiştir. Bu standart yaklaşımına göre Sızma testi yapan firmalar yetkinlik ve kapsam olarak sırasıyla A, B ve C sınıf olarak belirlenmektedir.
CertBy, bünyesinde barındırdığı uzman ve tecrübeli sızma testi uzmanları sayesinde TSE tarafından denetlenmiş ve A seviye bir Sızma Testi firması olmuştur. Standarda uygun olarak en kaliteli sızma testi (pentest) hizmetini almak için lütfen firmamızla iletişime geçiniz.