TSE Belgesi Sızma Testinde Neden Önemlidir?
Sızma testi (pentest), kurumların dijital varlıklarını gerçek saldırı senaryolarıyla değerlendiren teknik bir güvenlik disiplinidir. Ancak tüm sızma testleri yasal ve kurumsal geçerlilik açısından eşdeğer değildir. Türk Standartları Enstitüsü (TSE), yürüttüğü akreditasyon programıyla belirli metodoloji ve kalite kriterlerini karşılayan siber güvenlik firmalarını onaylamaktadır. TSE belgeli bir firmadan alınan test raporu, teknik bir çıktının ötesinde resmi bir standart belgesi niteliği taşır.
Bu ayrım; kamu ihaleleri, bankacılık denetim süreçleri, kritik altyapı projeleri ve sigorta sözleşmeleri gibi belge zorunluluğu içeren durumlarda belirleyici hale gelmektedir. Denetçiler ve ihale makamları çoğu zaman yalnızca TSE ya da muadil ulusal standart onayına sahip firmalardan alınmış raporları kabul etmektedir.
TSE akreditasyonu; testin yöntemi, kapsam belgesi, personel yetkinlikleri ve raporlama formatı üzerinde bağımsız denetim yapılmasını gerektirir. Bu sürecin tamamlanmış olması, müşteri için ek bir kalite güvencesi sağlar.
Test Kapsamı ve Metodoloji
TUGAY'ın TSE onaylı sızma testleri, uluslararası standartlar olan PTES (Penetration Testing Execution Standard) ve OWASP Test Rehberi ile TSE akreditasyon gerekliliklerinin harmanlandığı bir metodoloji çerçevesinde yürütülmektedir. Test kapsamı, müşterinin altyapı ve uygulama mimarisine göre özelleştirilmekle birlikte aşağıdaki bileşenleri kapsamaktadır:
- Harici ağ altyapısı ve saldırı yüzeyi analizi
- Web uygulama güvenlik testleri (OWASP Top 10, API güvenliği)
- İç ağ segmentasyonu ve yetki yükseltme senaryoları
- Kimlik doğrulama ve oturum yönetimi açıklıkları
- Sosyal mühendislik ve kimlik avı direnci ölçümü
- Erişim kontrolü ve veri sızıntısı senaryoları
Uygulama Süreci
Test süreci, müşteri ile imzalanan kapsam ve gizlilik belgeleriyle başlar. Her aşama, TSE akreditasyon gereklilikleri doğrultusunda kayıt altına alınmaktadır.
- Kapsam Belirleme: İp aralıkları, uygulamalar, test türü (kara/gri/beyaz kutu) ve izin sınırları yazılı olarak netleştirilir.
- Keşif ve OSINT: Hedef sistemlere ait açık kaynaklı istihbarat toplanır; açık portlar, servisler ve olası güvenlik açıkları haritalandırılır.
- Aktif Tarama ve Açıklık Tespiti: Otomatize araçlar ve manüel tekniklerle sistem güvenlik açıkları tespit edilir.
- İstismar Denemeleri: Bulunan açıklıklar kontrollü biçimde istismar edilerek gerçek tehdit potansiyeli doğrulanır.
- Post-Exploitation Analizi: Erişim elde edilen sistemlerde yanal hareket ve ayrıcalık yükseltme senaryoları test edilir.
- Raporlama: TSE formatına uygun teknik ve yönetici özetli rapor hazırlanır; bulgular kritiklik düzeylerine göre sınıflandırılır.
Rapor Çıktıları ve Belgelendirme
TSE onaylı test sürecinin sonunda iki temel çıktı sunulmaktadır: Yönetici Özeti ve Teknik Rapor. Yönetici özeti, risk açısından değerlendirme yapması gereken karar vericilere yönelik hazırlanırken teknik rapor, ekiplerin bulguları gidermesi için gereken adım adım rehberliği içermektedir.
- Kritiklik bazında sınıflandırılmış güvenlik açığı listesi (CVSS puanlama)
- Her bulgu için yeniden üretim adımları ve teknik kanıtlar
- Düzeltme önerileri ve önceliklendirme matrisi
- TSE onaylı imzalı test sertifikası
- Kapanış testi (retest) hizmeti imkânı
TUGAY uzmanları aktif TSE akreditasyonuna sahip kıdemli test mühendislerinden oluşmakta; her test, akreditasyon otoritesine karşı hesap verebilir bir kalite güvence süreciyle yönetilmektedir.