Pentest (Sızma Testi) Hizmetleri

İhtiyaç

90’lı yıllardan itibaren kurumsal hizmetlerin ve ürün satışlarının bir kısmı internet üzerinden sağlanmaya başlamıştır. Elektronik ortamda ürün ve hizmet satışları mali durgunluk yıllarında dahi büyümektedir. Akıllı telefonlar ve tablet bilgisayarların yaygınlaşması ile mobil istemci uygulamaları kullanılarak yine internet üzerinden çok çeşitli servislere erişim sağlanmaktadır. Kurum içinde işletilen ve iş ortakları ile yürütülen süreçlerin önemli bir kısmı ise kurumsal iş uygulamaları ve teknoloji platformları ile desteklenmektedir.

Bilgi teknolojileri kullanımı operasyonel etkinliği ve gelirleri artırmakta, ancak bilgiye ve iş süreçlerine yönelik güvenlik risklerini de beraberinde getirmektedir. Bu risklerin başında kurumsal ve müşterilere ait hassas verilerin gizliliğinin kaybı, kuruma veya müşterilere ait parasal ve gayrinakdi varlıkların çalınması, sağlanan hizmetlerin kesintiye uğratılması suretiyle itibar ve gelir kaybı gelmektedir. Bu kaçınılmaz risklerin azaltılabilmesi için sistem geliştirme yaşam döngüsü içinde mutlaka ağ, sistem ve uygulama pentest kontrollerinin yer alması gerekir.

Büyük yazılım üreticilerinin tüm dünyada kullanılan ürünleri güvenlik araştırmacıları ve kötü niyetli kişiler tarafından sürekli olarak yeni açıklıkların keşfi için incelenmektedir. İşletim sistemi temellerini, ağ protokollerini ve uygulama teknolojilerini derin biçimde bilen bu kişilerin motivasyonu kimi zaman merak, kimi zaman itibar kazanmak, kimi zaman ise çıkar elde etmek olmaktadır. Bu bitmek bilmeyen araştırma sayesinde her yıl yeni saldırı teknikleri ve yeni yazılım açıklıkları ortaya çıkarılmaktadır.

Kurumların kendi ürettikleri yazılımlar ise benzer bir tehdit potansiyeline sahip olmasa bile genellikle kararlı saldırganların rahatlıkla tespit edebileceği açıklıkları barındırmaktadır. Bu nedenlerle tehlikeli ağlara açık olan ağ servisleri ve uygulamalar periyodik sızma testine tabi tutulmalıdır. Kuruma özel geliştirilmiş uygulamalar için her yenilik veya büyük değişiklik sonrasında mutlaka teknik açıklık denetimi gerçekleştirilmelidir.

İnternete açık servisi bulunan kurumlar tüm dünyadaki tehditlere açıktır. Bu nedenle hedef gözeten veya gözetmeyen tehditlerin saldırılarına maruz kalabilirler. Bazı kurumlar kurumun faaliyet alanına ve konjonktüre bağlı olarak özel olarak hedef alınabilirler.

Uygulama geliştirme ekipleri proje bazlı çalışma planları nedeniyle genellikle geliştirdikleri sistem ve uygulamaların üretim ortamlarında hangi tehditlere maruz kaldıklarını gözlemleme şansına sahip değildirler. Bu durum bazı saldırıların fark edilmeden gerçekleşmesine, üretilen sistem ve uygulamalarda benzer açıklıkların tekrar tekrar ortaya çıkmasına neden olmaktadır. Uygulama geliştirme ekipleri, ağ ve sistem yönetim ekipleri güvenlik denetim sonuçlarını güvenlik alanındaki bilgilerini artırmak için kullanabilir, sistem ve uygulama geliştirme süreçlerinde bu riskleri ortadan kaldıracak kontrolleri uygulayabilirler.