Penetrasyon Testi
İnternet üzerinden erişilebilen bilgiler adeta ikinci bir dünyanın ortaya konulduğunu bizlere göstermektedir. Birbirinden farklı konularda oluşturulmuş olan web siteleri üzerinden kullanıcıların erişebilmelerine imkan sağlanan bu sitelerin oluşturulması ve güvenli bir şekilde devam ettirilmesi de oldukça önemlidir. Çünkü internet üzerinden gerçekleştirilen bu işlemlere düzenlenen bazı siber saldırılar bulunmaktadır. Bu saldırılarda internet sitelerinin içeriklerine ulaşılmasının yanı sıra bilgilerin değiştirilmesi ve bu internet sitesine ulaşımların engellenmesi de bulunmaktadır. Bu gibi durumlarda ise bazı güvenlik firmaları ve internet sitesi yöneticilerinin yapması gereken bazı güvenlik tedbirleri bulunmaktadır. Bunların başında ise penetrasyon testi gelmektedir.
Penetrasyon Testi Nedir?
Bu test bazı güvenlik firmalarının iş birliği ile ortaya konulmuştur ve bilişim sistemleri ve web sitelerine yönelik gerçekleştirilen kötü niyetli saldırıların ve müdahalelerin nedenlerini ve hangi güvenlik açıkları ile gerçekleştirildiğini saptamaya yönelik yapılmaktadır. Yapılan test sonucunda sistemin güvenlik açıkları bir rapor haline getirilir ve uzmanlar da bu rapor neticesinde bilişim sistemi üzerinde iyileştirmelere gider. Böyle bir testin uygulanması ve çıkmasındaki amaç ise şirketlerin ve yöneticilerin herhangi bir şekilde farkına varmadıkları ve var olan güvenlik açıklarının iyileştirilmesidir. Bu testin uygulanması için ise uzmanlar adeta kötü niyetli kullanıcılar gibi sisteme belirli saldırılar düzenlemektedir. Bu saldırılarda da sistemin tüm açıkları ve güvenlik zafiyetleri ortaya çıkarılmaktadır. Bu testler 3 farklı şekilde gerçekleştirilmektedir. Bunlar, black box, gray box ve white box olarak 3 şekilde gerçekleşir. Penetrasyon testi yapılırken ilk aşama olan Black Box yönteminde yapılan sızma işlemini gerçekleştiren firma herhangi bir şekilde bilgi paylaşımında bulunmayacaktır. Bilginin sızdırılması ya da mevcut sisteme zarar verilmesi üzerine sisteme sızmaya çalışan bir kişi gibi davranılan bu evrede önlem alınmaz. Çünkü yapılacak herhangi bir saldırının sisteme verebileceği tüm zararlar görülmek istenmektedir. Gray Box aşamasında ise sistem ile ilgili detaylı bir bilgi birikimi yapılmadan test yapılmasının mümkün kılındığı evredir. Bu evrede sistem üzerinde kısıtlı yetkisi bulunan kullanıcıların bu sisteme nasıl bir zarar verebilecekleri ve bu zararları gidermek amacıyla nasıl bir test yapılacağı analiz yapılır. White Box aşaması ise uzmanlar firma tarafından tamamen bilgilendirilir ve uzman sistemin tüm özel bilgilerini öğrenmiş olur. Bu bilgiler doğrultusunda sistem üzerinde geçmiş dönemlerde faaliyet göstermiş olan kişilerin bu sisteme nasıl bir zarar verecekleri analiz edilerek bilişim sistemi sahiplerine sunulur.
Yapılan bu testler tamamen bilişim sistemleri üzerinde uzmanlaşmış kişilerce yapılmaktadır. Bunun dışında herhangi bir belge ya da sertifikası bulunmayan kişilerin bu testi yapmaları söz konusu değildir. Bundan dolayı herhangi bir kişiye sistem bilgilerinizi ifşa etmemeniz ve güvenlik konularında zafiyetlerinizin bulunduğunu dillendirmemeniz gerekmektedir. Bu durumları sadece sistem analizleri yapan ve güvenlik uzmanı olmuş kişiler ile paylaşmanızda fayda vardır.