Sızma Testi Uzmanı Nedir?

2030 yılına doğru geleceğin meslekleri araştırmamda Siber Güvenlik Uzmanlığı alanını görmek benim için şaşırtıcı olmadı. Bilgi güvenliği alanında, önemli ve son derece heyecan verici zamanlar yaşıyoruz. Çok büyük firmalar bile veri kaybı endişesi taşıyor. Sızma Testi Uzmanlığı, yani bilgisayar sistemlerine nüfuz etme ve onlara zarar vermeden bir saldırganın taktikleri ile sistemi incelemedir.

Sızma Testi Uzmanı

Bir pentester (sızma testi uzmanı) olarak çalışmak için iyi teknik becerilere sahip olmanız, sosyal mühendislik bilmeniz, kendine güvenen bir insan olmanız gerekir. Görev genellikle bir şirket için BT koruması sağlayan çok deneyimli adamlardan bazılarını alt etmek ve bu korumayı atlamak isteyen diğer kişilerin kurnazlığını öngörmektir. Buradaki en önemli şey ise aşırıya kaçmamaktır. Aksi takdirde tatsız durumlar ortaya çıkabilir.

Gün geçtikçe sızma testi uzmanlığına artan bir talep vardır… Diğer bilgisayar korsanlarının kendi amaçları için kullanabilecekleri güvenlik açıklarını ortadan kaldırmak için genellikle korunan sistemlere girmeye çalıştıkları için bazen “etik” veya bazen “beyaz şapkalı” bilgisayar korsanları olarak adlandırılırlar. Siber güvenlik firmaları, siber suçların 2021 yılı sonuna kadar dünya çapında 6 trilyon dolarlık zarara ulaşacağını ve bilgisayar korsanlarının Twitter, LinkedIn, Target, Facebook, Equifax gibi kuruluşları ve hatta NSA ve İç Güvenlik Bakanlığı gibi devlet kurumlarını hedef alacağını tahmin etmişti. Takip ettiyseniz bunlardan bir çoğu gerçekleşti, hatta bazı kişisel bilgiler darkweb olarak adlandırılan internetin yer altı dünyasında satışa sunuldu.

Sızma Testi Uzmanlarının başarılı olması için gerekli bazı beceriler vardır:

• Herhangi bir sisteme nüfuz etmek için gereken kodlama becerileri;
• Adli tıp, sistem analizi ve daha fazlasını içeren kapsamlı bilgisayar güvenliği bilgisi;
• Bilgisayar korsanlarının korunan sistemlere yetkisiz erişim sağlamak için insan faktörünü nasıl kullandığını anlamak;
• Bilgisayar güvenliği ihlallerinin bir işletmeye nasıl zarar verebileceğinin (finansal ve yönetsel etkiler dahil) net bir şekilde anlaşılması;
• Olağanüstü problem çözme becerileri;
• İnsan faktörünü testlerde kullanmak için iletişim becerileri;
• Bulgularınızı belgelemek ve paylaşmak için düşüncelerinizi açık ve tutarlı bir şekilde iletme becerileri.

Penetrasyon/Sızma testi, genellikle faaliyet gösterilen belirli organizasyon ve endüstrinin özelliklerine göre uyarlanır. Sağlık ve bankacılık gibi bazı endüstriler, endüstri güvenlik standartlarına uygunluğu sağlamak için sızma testi uzmanları kullanır.

Bir sistem, uygulama veya herhangi bir yazılımın geliştiricileri tarafından gözden kaçırılan potansiyel kör noktaları belirlemek için genellikle üçüncü taraf kuruluşlar devreye girer. Kendilerini etik bilgisayar korsanı olarak tanıtan çalışanlar, geliştirme deneyimine, iyi bir eğitime ve siber güvenlik personelinin ihtiyaç duyduğu bir dizi sertifikaya sahiptir. Bazı pentesterler ise aslında eski bilgisayar korsanlarıdır. Ancak, kuruluşların sistemlerini korumasına yardımcı olmak için yetenek ve becerileri kullanırlar.

Not: Makale devam edecektir. Sonraki makalede sızma testi uzmanın kariyeri, alması gereken sertifikalar konularından bahsedeceğiz.