Bir sızma testi, değerlendirmeyi yapan kişinin sisteme girmeye çalıştığı bir bilgisayar sistemi üzerinde gerçekleştirilen bir tür güvenlik değerlendirmesidir. Testin amacı, kötü niyetli bir kişinin sisteme girip giremeyeceğini ve sisteme girdikten sonra neye erişebileceğini belirlemektir. Penetrasyon testleri, bilgisayar sistemlerinin güvenliği konusunda uzmanlaşmış birçok firma tarafından sunulmaktadır ve düşmanca bir saldırının neden olduğu bir bilgisayar sistemine verilen zarar pahalı ve utanç verici olabileceğinden, her boyuttaki sistemler ve şirketler için şiddetle önerilir.
Sızma testine yönelik birkaç farklı yaklaşım vardır. Kara kutu yaklaşımında, testi yapan kişiye sistem hakkında bilgi verilmemektedir. Potansiyel sömürüleri aramak ve sisteme girmek için sıfırdan başlar. Beyaz bir kutu testinde, test cihazının bir iç işi veya bilgi sızıntısını simüle etmesini sağlayan tüm bilgiler sağlanır. Bazı şirketler, bazı bilgilerin sağlandığı ve diğer bilgilerin araştırılması gereken karma bir yaklaşım seçer.
Bir sızma testi sırasında, güvenlik uzmanı verilerin silinmesini veya değiştirilmesini, dosyaların çalınmasını, kötü amaçlı kodun girilmesini ve çeşitli diğer etkinlikleri taklit edebilir. Sızma testi sistemi yavaşlatabilir, bu da testin zamanlamasını önemli kılar; Şirketler güvenlik değerlendirmeleri yaparken kendi operasyonlarına müdahale etmekten kaçınmak istiyorlar.
Sızma testleri yapan insanlar, bilgisayar becerileri konusunda geniş bir kütüphaneye sahiptir ve bazılarının, bilgisayar sistemlerinden faydalanmanın çeşitli yollarını tanıyan bilgisayar korsanları olarak bir geçmişi vardır. Becerikli bilgisayar korsanlarının güvenlik danışmanları olarak işe alınması, bilgisayar korsanları genellikle en güncel bilgi ve bilgilere sahip olduklarından ve bilgisayar sistemlerine bu rolden yaklaşmakta alışkın olduklarından, aslında bilgisayar ve ağ güvenliğinde uzmanlaşmış bir firma için çok anlayışlı bir iş hareketi olabilir. İlgili bir güvenlik uzmanının rolü yerine, kötüye olan biri.
Basit testler için, penetrasyon testini gerçekleştirmek için otomatik bir sistem kullanmak mümkündür. Bu masrafları azaltır ve şirketlerin bir ihtiyaç olabileceğini düşündüklerinde kolayca rastgele testler yapmalarını sağlar. Manuel test daha derinlemesine ve zaman alıcıdır, ancak daha eksiksiz sonuçlar verebilir. Yaratıcı ve kararlı bir insan, otomatik bir programın kaçırabileceği potansiyel istismarları tespit edebilir.
Bir penetrasyon testi tamamlandığında, bulgular yazılır ve müşteriye sunulur. Bulguların yanı sıra, güvenlik firması güvenliğin hangi alanlarda geliştirilebileceğini ve iyileştirilmesi için önerilerde bulunduğunu gösteren bir liste hazırlanır.
