Sızma testi , sistemin güvenliğini değerlendirmek üzere bir bilgisayar sistemi üzerinde gerçekleştirilen yetkilendirilmiş temsili bir siber saldırıdır. Test, yetkisiz kişilerin sistem özelliklerine ve verilerine erişme potansiyelini içeren her iki zayıf noktayı (zafiyet olarak da bilinir) ve sistemin güçlü yönlerini belirlemek ve tam bir risk değerlendirmesi sağlamak için yapılır.
Süreç tipik olarak hedef sistemleri ve belirli bir hedefi tanımlar, daha sonra mevcut bilgileri gözden geçirir ve bu hedefe ulaşmak için çeşitli yollar arar. Bir sızma testi hedefi beyaz kutu (arka plan ve sistem bilgisi sağlar) veya kara kutu (sadece temel bilgi sağlar veya şirket adı dışında bilgi sağlamaz) olabilir. Gri kutu sızma testi ise ikisinin bir birleşimidir (hedef hakkındaki sınırlı bilgiyi denetçi ile paylaşır).Sızma testi, bir sistemin savunmalarının yeterli olması durumunda saldırılara açık olup olmadığını veya saldırıların hangi savunmayı aştığını belirlemeye yardımcı olabilir.
Sızma testinin açığa çıkardığı güvenlik sorunları sistem sahibine rapor edilmelidir. Sızma testi raporları ayrıca kurum üzerindeki potansiyel etkileri değerlendirebilir ve riski azaltmak için karşı önlemler önerebilir.
Ulusal Siber Güvenlik Merkezi sızma testini “bir saldırgan ile aynı araç ve teknikleri kullanarak bir BT sisteminin güvenliğinin bir kısmının veya tamamın ihlal edilmeye çalışılmasıyla sistemin güvenliğinin güvence altına alınması” olarak tanımlamaktadır.
Sızma testinin amacı, kötü niyetli bir aktör tarafından sömürülebilecek güvenlik açıklarını bulmak ve bu güvenlik açıklarını müşteriye önerilen azaltma stratejileri ile birlikte sunmak üzerine yapılan sözleşme çeşidine göre değişiklik göstermektedir.
Sızma testleri güvenlik denetimlerinin bir parçasıdır. Örneğin, Ödeme Kartı Sektörü Veri Güvenliği Standardı, düzenli aralıklarla ve sistem değiştikten sonra sızma testi gerektirir.
Hata Hipotezi Metodolojisi bir sistem analizi ve sızma tahmin tekniğidir. Bir yazılım sistemindeki varsayılan hataların listesi, sistem spesifikasyonlarının ve dokümantasyonunun analizi yoluyla derlenir. Varsayılan hataların listesi daha sonra öngörülen hatanın gerçekten var olmasına ve onu kontrol veya uzlaşma derecesinde kullanma kolaylığı olmasına göre önceliklendirir. Öncelikli liste, sistemin gerçek testini yönlendirmek için kullanılır.
Comments are closed