Güvenlik açığı, bir bilgisayar sistemine yetkisiz erişim sağlamaya neden olan siber suçlular tarafından istismar edilebilir bir zayıflıktır. Bir güvenlik açığından yararlandıktan sonra, siber saldırgan kötü amaçlı kod çalıştırabilir, kötü amaçlı yazılım yükleyebilir ve hatta hassas verileri çalabilir.

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)’ ne göre bir tehdit kaynağı tarafından istismar edilebilecek veya tetiklenebilecek bir bilgi sistemi, sistem güvenlik prosedürleri, iç kontrolleri veya uygulamadaki zayıflık.

Sızma Analizi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VAPT) olmak üzere iki yönteme bağlıdır.

Neden Sızma Testi?

Günümüz dünyasında siber saldırganların artmasıyla birlikte, başta bankalar ve finansal kuruluşlar olmak üzere her sektörden kuruluşlar verilerini güvence altında muhafaza etmek istiyor.  Proaktif Sızma Testi, bir saldırganın yararlanabileceği güvenlik açıklarını bulmak için bir bilgi teknolojisi varlığını test etme uygulamasıdır.  Sızma testiyle birlikte hedef hakkında bilgi toplamak, olası güvenlik açıklarını tespit etmek ve bunlardan yararlanmaya çalışmak ve bulguları rapor etmektir. Elde edilen raporlar sayesinde alınan önlemler ile bilgisayar korsanlarına karşı en etkin savunma sistemi geliştirilebilir. Sızma testi, bir kuruluşun güvenlik politikasını, uyumluluk gereksinimlerine bağlılığı, çalışan güvenliği farkındalığını ve bir kuruluşun güvenlik olaylarını tanımlama ve bunlara yanıt verme yeteneğini test etmek için de kullanılabilir.

Seçilen penetrasyon testinin türü genellikle kapsama ve kuruluşun bir çalışan (İç Tehditler) veya dış kaynaklar (Dış Tehditler) tarafından bir saldırı simülasyonu yapmak isteyip istemediğine göre değişmektedir.

Tecron olarak sunduğumuz “Bilgi Güvenliği Risk Analizi Metodu Çeşitleri” aşağıda belirtilmiştir.

Beyaz Test – Açık Bilgilendirme Metodu

Kurumunuza ait verebileceğiniz bilgileri sizden alıp ve belirtilen bu bilgiler dışına çıkmadan uyguladığımız test senaryosudur.

Bu test yöntemiyle genellikle dışarıya açık olan web sunucusu, ftp sunucusu ve sizin test edilmesini talep ettiğiniz diğer uç noktalar üzerinde uygulanır.  Test sonucunda size kapsamlı ve Türkçe bir rapor sunulur.

Gri Test – Kısmi Bilgilendirme Metodu

En çok tercih edilen test türüdür. Beyaz test yönteminde olduğu gibi sizden verebileceğiniz bilgiler ve test yapılmasını talep ettiğiniz uç noktalar hakkında alınan bilgiler ışığında test yapılır.

Beyaz test yönteminden farklı olarak etik saldırganlarımız karşılaştıkları zafiyetler karşısında kendi inisiyatifleri ile saldırabilecekleri diğer zayıf noktaları değerlendirerek saldırı simülasyonu gerçekleştirir. Test sonucunda size kapsamlı ve Türkçe bir rapor sunulur.

Siyah Test – Bilgi Paylaşımsız Metot

Bu yöntemde ise kurumdan herhangi bir bilgi almadan gerçekleştirilen, birebir saldırganı taklit eden yöntemdir.

Bu yöntemde etik saldırganlarımız rastgele bir zaman diliminde tamamen sürpriz olacak şekilde saldırı simülasyonları gerçekleştirir. Güvenlik açıklarını bulmak ya da sistem ile alakalı bilgi edinmek için firmayla telefon ile irtibata geçme, sunucu dinleme, wireless hattını dinleme vb. (kısaca bir saldırganın kullanabileceği yöntemleri taklit ederek) gibi yöntemleri kullanılabilir. Bu etik saldırıların süresi tamamen sizin kararınıza göre belirlenir ve sistemin durmasına, aksamasına veya herhangi bir bilgi sızıntısına yönelik kasıtlı bir işlem yapılmaz. DOS ve DDOS saldırıları ile de sistem stres testine sokulabilir. Test sürecinde elde edilen güvenlik açıkları ve kısmi metotlar raporlanır.  

Tecron, varsayılan olarak tüm testlerini gerçek dünya risklerine en yakın metot olan “Siyah Test” metodu ile gerçekleştirir.

Tecron, genel olarak tüm testlerini gerçek dünya senaryolarına olan benzerliği ve etkinliği sebebi ile “Siyah Test” metodu ile gerçekleştirir.