Penetrasyon(Sızma) Testlerinde Kontrol Listesi Kullanımı ve Yararları

Hemen her saat yeni bir güvenlik zafiyetinin yayınlandığı siber dünyada kurumları bu tehditlere karşı korumak amacıyla geliştirilen yöntemlerden biri sızma testleridir. Sızma testleri aslında kurumların anlık güvenlik açısından resimlerinin çekilmesi ve önerilerin sunulmasından ibaret olmasına rağmen çoğu kurum tarafından aldık, güvendeyiz şeklinde yaklaşılmaktadır.

Sızma testlerini gerçekleştirmek üzere bu yola giren çoğu kişinin bir müddet sonra karşılacağı temel maddelerden birisi meslek körlüğüdür. Her saat aynı işle uğraşan biri uğraştığı konuda ne kadar uzmanlaşırsa uzmanlaşsın bir müddet sonra farklı zamanlarda aynı sistemi incelediğinde farklı güvenlik zafiyetleri tespit etmeye başlayacaktır. Sızma testi yapan firmaların karşı karşıya kalacağı en kötü durum hizmet verdiği firmanın güvenlik problemi yaşamasıdır. Çoğu firma maliyet vs gibi nedenlerden dolayı sızma testi yaptırırken kapsamı dar tutmakta ve kendilerince önemli, kritik sunucuları teste tabi tutturmaktadır. Oysa siber saldırganlar için önemli, önemsiz sistem yoktur, sisteme giriş için kullanılacak bir yol lazımdır ve genelde bu yol da kurum açısından en değersiz, göz önünde olmayan sistemler olmaktadır.
Sızma testlerini gerçekleştirirken dikkat edilmesi gereken diğer önemli bir hususta  sızma testi gerçekleştirecek kişi/firmaların sızma testinde nelere baktığının somut olarak ortaya konmasıdır. Tamamen kişisel güven esasına dayalı olarak yürüyen bu sistem(sızma testinde neleri kontrol ettiği kişinin aklındadır, yazılı değildir) sonucunda aynı firmaya farklı sızma testi uzmanları tarafından gerçekleştirilen denetimlerin sonuc raporları oldukca farklı çıkabilmektedir.
BGA olarak 2013 yılında bir müşterimizin talepleri doğrultusunda 13 farklı başlıkta yaklaşık 400 farklı maddeden oluşan “Sızma Testi Kontrol Listesi” hazırladık.  Bizden kontrol listesini hazırlamamızı isteyen firmanın temel amaçları şunlardı:

Sızma testinde kişisel uzmanlık önemli fakat yapılan işlerin kişiden bağımsız olarak tekrar edilebilmesi, hangi test maddelerinin başarıyla sonuçlandığının , hangi test maddelerinin başarısız olduğunun ortaya konması (böylece kurumun sadece eksik yanları değil, güçlü yanları da ortaya çıkmaktadır)
Şimdilik sadece BGA olarak hizmet verdiğimiz firmalarla paylaştığımız bu listeyi önümüzdeki dönemlerde halka açık olarak paylaşmayı ve gelecek katkılarla bir standart yayınlamayı planlıyoruz.

Halihazırda dökümanımızda hangi test adımının hangi araçlar kullanılarak nasıl gerçekleştirileceği de adım adım yazılıdır.