Pentest (Sızma Testi ) nedir ?

 

Pentest (Penetrasyon Testi), bilgisayar sistemlerinde bulunan güvenlik açıklarının tespit edilmesi için uygulanan bir güvenlik testi işlemidir. Pentest veya pentesting işlemi, sistemler üzerinde bulunan güvenlik açıklarından yararlanan saldırganların yapabilecekleri işlemleri simüle eder. Böylece bir kurum siber saldırıya uğramadan önce güvenlik açıkları belirlenebilir ve gereken çözümler uygulanarak güvenlik açıkları giderilebilir.

Teknolojinin gelişmesi ve yeni sistemlerin ortaya çıkması, yeni güvenlik açıklarını meydana getirir. Kurumlar bilgisayar sistemlerini siber saldırılardan korumak için güncel tehditlere karşı hazırlıklı olmalıdırlar. Bu nedenle düzenli olarak Pentest işlemi yapılmalıdır. Pentest yapan firmalar, kurumların sistemlerine yönelik güvenlik testleri gerçekleştirmek için Pentest Hizmeti sağlarlar. Bu firmalar, pentest hizmetinden yararlanmak isteyen kurumlara pentest teklifi sunarlar. Bu hizmetten yararlanan kurumlar ve siber güvenlik firmaları arasında imzalanan gizlilik sözleşmeleri dahilinde, alanında kendini kanıtlamış siber güvenlik uzmanları tarafından kurum sistemlerine yönelik güvenlik testleri uygulanır. Pentest işlemini gerçekleştiren uzmanlar Pentester olarak adlandırılır. Pentesterlar bir saldırgan gözünden kuruma ait sistemleri hedefleyerek bu sistemlere sızmaya çalışırlar. Ardından kuruma iletmek üzere elde edilen sonuçları içeren bir pentest raporu hazırlarlar.

Pentest Yapan Firmalar

• Bir kuruma ait varlıkları etkileyen güvenlik açıklarını belirlemek
• Kurumu etkileyen risk ve tehditleri ortaya çıkarmak
• Uygulanan prosedürlerin, politikaların ve tasarımların doğruluğunu teyit etmek
• Saldırganlar tarafından kurum güvenliğinin ihlal edilmemesi için, sistemleri güvence altına almak amacıyla plan yapmak
• Bir siber saldırıdan başarılı sonuç alan saldırganların erişebilecekleri noktaları belirlemek
• Mevcut güvenlik mimarisini değiştirmek veya geliştirmek
• Saldırganlar tarafından kurum güvenliğinin ihlal edilmesi sonucunda oluşabilecek imaj kaybı ve maddi hasarı engellemek
• Kurum tarafından kullanılan güvenlik cihazlarının verimliliğini değerlendirmek
• Bir siber saldırı sonucunda güvenliği ihlal edilen kurumların gelecek saldırılardan etkilenmemeleri için tehditleri ortaya çıkarmak