Pentest olarak da bilinen sızma testi, istismar edilebilir güvenlik açıklarını kontrol etmek için bilgisayar sistemlerinize karşı simüle edilmiş belirli aşamalardan oluşan sisteme sızma girişimleridir.
Bir başka bir deyişle de; “Penetrasyon testi, bir sisteme, ağa, ekipmana ya da başka bir tesise yapılan saldırıların, sistemin ya da “hedefin” gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan saldırı simülasyonudur.” (Henry, 2012)
Penetrasyon testinin (Pentest) amacı; saldırganların yararlanarak kullanabilecekleri ve zararlar verebilecekleri sistemlerdeki zayıf noktaları, zafiyetleri onlardan önce tespit etmektir.
Penetrasyon testi (Sızma testi); şirketlerde ve kurumlarda yasal zorunluluklara ait gereksinimlerin (Örneğin; 6698 Sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Veri Güvenliğinin sağlanması,Teknik Tedbirler kapsamında) karşılanmasını veya ilgili yönetim sistemlerinin gereksinim ve şartlarının karşılanmasını (Örneğin; ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 27701 Kişisel Veri Yönetim Sistemi) sağlamak amacı içinde yapılmaktadır.
Penetrasyon testleri sonunda hazırlanan açıklık, zafiyet raporu şirketlerin, kurumların saldırganlardan önce bu zafiyet ve açıklıklardan haberdar olmasını ve zamanında bunların kapatılmasına olanak sağlamaktadır.
Müşteri ile Penetrasyon Testi hizmeti öncesi kapsam belirleme ve analiz çalışması yapılacaktır. Bu çalışma Penetrasyon testi hizmetinin kapsamını belirleyecektir.
Kapsam belirleme ve analiz çalışması sonucunda belirlenen kapsam ve şartlar dahilinde müşterinin Bilişim Sistemleri güvenlik taramasından geçirilerek var olan yapının bir fotoğrafı çekilecek ve tespit edilen güvenlik açıkları ayrıntılı olarak rapor edilecektir.
Yapılacak olan bu çalışma bilinen bilişim sistemlerine, bilinen tüm yollarla sızma ve olası güvenlik açıklarını çıkartmak üzerine yapılacak ve aşağıda belirtilen Penetrasyon Testi Aşamaları gerçekleştirilerek tamamlanacaktır;