Sızma Testleri, Sistemin güvenliğini değerlendirmek üzere bir bilgisayar sistemi üzerinde gerçekleştirilen yetkilendirilmiş temsili bir siber saldırıdır. Test, yetkisiz kişilerin sistem özelliklerine ve verilerine erişme potansiyelini içeren zafiyetlerini ve sistemin güçlü yönlerini belirlemek ve tam bir risk değerlendirmesi sağlamak için yapılır.
Süreç tipik olarak hedef sistemleri ve belirli bir hedefi tanımlar, daha sonra mevcut bilgileri gözden geçirir ve bu hedefe ulaşmak için çeşitli yollar arar. Sızma testi, bir sistemin savunmalarının yeterli olması durumunda saldırılara açık olup olmadığını veya saldırıların hangi savunmayı aştığını belirlemeye yardımcı olur.
Sızma testinin açığa çıkardığı güvenlik sorunları sistem sahibine rapor edilir. Sızma testi raporları ayrıca kurum üzerindeki potansiyel etkileri değerlendirir ve riski azaltmak için karşı önlemler önerir.
Ulusal Siber Güvenlik Merkezi, sızma testini “bir saldırgan ile aynı araç ve teknikleri kullanarak bir BT sisteminin güvenliğinin bir kısmının veya tamamın ihlal edilmeye çalışılmasıyla sistemin güvenliğinin güvence altına alınması” olarak tanımlamaktadır.
Sızma testleri güvenlik denetimlerinin bir parçasıdır. KVKK, GDPR, 27001 gibi Veri Güvenliği Standartları, düzenli aralıklarla veya sistemde yapılan değişiklerden sonra sızma testi gerektirir.
