416 gündür bir hırsızla yaşıyor olabilirsiniz24Ekim

416 gündür bir hırsızla yaşıyor olabilirsiniz

Türk insanının misafirperver olduğu oldum olası söylenir. Kültürümüz tanımadığı kişileri tanrı misafiri kabul etmeye, muhtaçlara kapı açmaya örneklere dair hikaye ve özlü sözlerle dolu. Ama iş en değerli sırlarınızı emanet ettiğiniz, günümüzün rekabet ortamında iş sürekliliği adına neredeyse tüm yükü üstlenen sunuculara gelince değişiyor. Sistemlerinizi davetsiz misafirlerden, kem gözlerden, meraklılardan korumanız lazım. Aksi halde bilgi hırsızlığından tutun da sistemlerin işlemez hale gelmesine kadar zararın nereye kadar uzanacağını kestirmek mümkün değil.
 

Dahası, kurumların bilgi sistemlerinin güvenliğine dair araştırmalar bu konudaki farkındalığın aslında ne kadar da zayıf olduğunu ortaya koyuyor. Örneğin kurumların yüzde 94’ü siber saldırıya uğradıklarını kendi olanaklarıyla değil, bir başkasından duyuyorlar. Siber sistemlerine sızan kişilerin yakalanmadan önce ortalama içerde kalma süresi ise tam 416 gün! Evinize giren hırsız aylarca ofisinizde yatıyor, mesajlarınızı okuyor, kaynaklarınızı kullanıyor ve siz bunu ortalama 416 gün sonra fark ediyorsunuz. İnanılmaz. Peki güvenliği nasıl sağlayacaksınız? Antivirüs? Firewall? Birleşik tehdit yönetimi çözümleri? Bunlar güvenliği güçlendiren ve olmazsa olmaz unsurlar, kabul. Mutlaka da kullanmanız gerekiyor. Peki ama ya birisi bu engelleri aşarsa ne olacak? Ya Firewall engellemekte yetersiz kalırsa? Ya antivirüs ve ağ güvenlik sistemlerinizi aşmanın bir yolunu bulurlarsa?
 

Kendimize boşuna mı güveniyoruz?

Aslında tüm bu çözümleri uygun şekilde kurguladığınız ve güncel tutabildiğiniz sürece bunları aşmak belli bir beceri seviyesinin üzerine çıkılmadığı sürece bir hayli zor. Ama sistemleri kale duvarı gibi birbirine yaklaştırırken elimizde olmadan bazı hatalar yapıyoruz. Standartlar bizi öngörülebilir kılıyor. Yatırımların bütçe dönemlerinde gerçekleşmesi teknoloji yatırımlarının zayıf kaldığı zayıf ara dönemler doğuruyor. Farklı sistemlerin bütünleşmesi her zaman olması gereken ideal şekilde gerçekleştirilemiyor.
 

İşte bu nedenle penetrasyon testi diye bir kavram hayatımıza girmiş durumda. Olay şu: Bu testi yapan kurumları sisteminize buyur ediyorsunuz, onlar da yaygın açıkları kullanarak ve kendi becerilerini de işin içine katarak sisteminize bir “saldırı simülasyonu” gerçekleştiriyorlar. Bu iyi niyetli sistemlere sızma girişimlerinde amaç sadece “açıkları ve zayıf noktaları tespit etmek” olduğu için, gerçek amacı farklı olan biri sistemlerinizi zorlamadan önce mevcut sistemin zayıf noktalarını görme ve güçlendirme şansı buluyorsunuz.


Bu işi yapanlara kendilerine genellikle “beyaz şapkalı hacker”, veya “etik hacker” gibi isimler veriyorlar. Son dönemlerde bir hayli gözdeler. Bu işin eğitimini veren kurumlar var, penetrasyon testine dair standart çalışmaları var, hatta bu işi otomatik olarak yapan yazılımlar bile var.
 

Sonuçta kazanımın ne olduğuna gelince… Öncelikle hangi yöntemlere karşı duyarlı olduğunuzu anlıyorsunuz. Zararlı yazılımların denetim alanı dışında kalan olası riskleri test ediyorsunuz. Sizi koruduğuna inandığınız kişi veya çözümlerin işini ne kadar iyi yaptığını görüyorsunuz. Ve de en ilginç olanı, biri tüm engelleri aşıp sisteme sızmayı başarırsa bu işi düzeltmenin size neye mal olacağını ölçebiliyorsunuz.
 

Penetrasyon testleri, başta finans sektörü olmak üzere bazı kapsamlı güvenlik denetimlerinin zorunlu bir parçası olarak kabul ediliyor. Ekonomik faaliyetlerin iyiden iyiye bilgi odaklı hale dönüştüğü ve iş sürekliliğinin ayrıcalıktan öte standart haline geldiği günümüzde, sizin de bir şekilde bu konuyu gündeme almanız şart.