S�zma Testi | KORUDATA Yaz�l�m ve Bilgi Teknolojileri A.�.

Belirlenen bili�im sistemlerindeki mant�k hatalar� ve zafiyetleri tespit ederek, s�z konusu g�venlik a��kl�klar�n�n k�t� niyetli ki�iler taraf�ndan istismar edilmesini �nlemek ve sistemleri daha g�venli hale getirmek maksad�yla, �yetkili� ki�iler taraf�ndan ve �yasal� olarak ger�ekle�tirilen g�venlik testleridir. S�zma testi �al��malar�ndaki as�l ama�, zafiyeti tespit etmekten �te ilgili zafiyeti sisteme zarar vermeyecek �ekilde istismar etmek ve yetkili eri�imler elde etmektir.

Penetrasyon testi, bir sisteme, a�a, ekipmana ya da ba�ka bir tesise yap�lan sald�r�lar�n, sistemin ya da "hedefin" ger�ek bir sald�r�ya ne kadar savunmas�z oldu�unu kan�tlamak amac�yla yap�lan sald�r� sim�lasyonudur.� (Henry, 2012)

S�zma testleri, genellikle sunucular�, u� noktalar�, web uygulamalar�, kablosuz a�lar�, a� cihazlar�n�, mobil cihazlar� ve di�er potansiyel maruz kalma noktalar�n� sistematik olarak tehlikeye d��rmek i�in elle veya otomatik teknolojiler kullan�larak ger�ekle�tirilir.

Ulusal ve uluslararas� metadolojiler temel al�narak ger�ekle�tirilen s�zma testleri, a�a��da yer alan 3 ana y�ntem kullan�larak testler uygulan�r.

Black Box: Bu yakla��mda, ba�lang��ta g�venlik testi yap�lacak sistemle ilgili bir bilgi yoktur. amamen bilinmeyen bir sistem ile ilgili bilgi toplanacak ve testler yap�lacakt�r. Bu y�ntemde test ekibinin sistem ile ilgili bilgi d�zeyi hi� olmad��ndan, yanl��l�kla sisteme zarar verme ihtimalleri de y�ksektir. Bilgi toplama safhas� olduk�a zaman al�r. S�re bak�m�ndan en uzun s�ren yakla��m tarz�d�r.
Gray Box: Bu yakla��mda, sistem ile ilgili bilgiler mevcuttur. �rne�in; IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi vb. Bilgiler g�venlik testi yapacak ekibe �nceden sa�lan�r. Black Box yakla��m�na g�re daha k�sa zaman al�r. Kontrol� ve testi istenen IP adresleri belli oldu�undan sistemin, istem d�� zarar g�rme ihtimali de azalm�� olur.
White Box: Beyaz kutu olarak ifade edilen bu yakla��mda, g�venlik testi ekibi, sistemin kendisi ve arka planda �al��an ilave teknolojiler hakk�nda tam bilgi sahibidir. Black Box tekni�ine g�re kurum ve firmaya daha b�y�k fayda sa�lar. Hata ve zafiyetleri bulmak kolayla�aca��ndan bunlara tedbir al�nma s�resi de azalacakt�r. Sistemin zarar g�rme riski �ok azd�r ve maliyet olarak da en az maliyetli oland�r.

Neden S�zma Testi Yapt�rmal�y�z?

Sahip oldu�unuz bili�im sistemlerindeki g�venlik zafiyetlerinin ��nc� bir g�z taraf�ndan kontrol edilmesi ve raporlanmas� proaktif g�venli�in ilk ad�mlar�ndand�r. ��nk� siz ne kadar g�venli�e dikkat ederseniz edin sald�rganlar�n, sistemi istismar etmek i�in kullanaca�� tekniklerin s�n�r� yoktur. Hayal g�c� ve bilgi seviyelerine g�re ihtimaller de�i�mektedir. Bir �eylerin g�z�n�zden ka�ma ihtimali vard�r. Bu sebeplerden dolay� hackerlara yem olmadan kendi g�venli�inizi Beyaz �apkal� hackerlara test ettirmeniz yarar�n�za olacakt�r. Ek olarak PCI, HIPAA gibi standartlar da Pentest yapt�rmay� zorunlu k�lmaktad�r. Son zamanlarda ise KVKK Pentest zorunlulu�u ile de firmalar s�zma testi hizmetieri almaya ba�lam��t�r.

Neden S�zma Testi Yapt�rmal�y�z?

METODOJ�LER

ADL� B�L��M ��Z�MLER�

HAKKIMIZDA

KURUMSAL S�STEM ��Z�MLER�M�Z

�� ORTAKLARIMIZ

SIZMA TEST�

Neden S�zma Testi Yapt�rmal�y�z?

METODOJ�LER

ADL� B�L���M ��Z�MLER�

HAKKIMIZDA

KURUMSAL S�STEM ��Z�MLER�M�Z

�� ORTAKLARIMIZ

ADL� B�L��M ��Z�MLER�