Bir pentest – veya sızma testi – bir saldırganın güvenlik açıklarını kullanarak bir şirketin BT altyapısına nasıl sızabileceğini gösterir. İşletim sisteminin, hizmetlerin ve uygulamaların bir parçası olabilir, ayrıca yanlış yapılandırma ve kullanıcı eylemlerinin bir sonucu olarak meydana gelen açıklıkları kontrol edilir. Böyle bir değerlendirme sonunda, savunma mekanizmalarının etkinliğinin ve kullanıcının güvenlik politikalarına uygunluğunun doğrulanması amaçlanır.
Sızma testi genellikle sunucuları, bilgisayarları, web uygulamalarını, kablosuz ağları, ağ cihazlarını ve diğer potansiyel etki noktalarında ki tehlikeleri görmek için manuel veya otomatik teknolojiler kullanılarak yapılır. Bu güvenlik açıklarından başarıyla yararlandıktan sonra, Test Sahipleri, iç kaynaklarda daha sonra kötüye kullanım başlatmak için güvenliği ihlal edilmiş bir sistem kullanmayı deneyebilir.
Sızma testi sırasında başarıyla kullanılan tüm güvenlik açıkları hakkında bilgi toplanır ve uzmanların stratejik sonuçlar çıkarmasına ve uygun düzeltici önlemlere öncelik vermesine yardımcı olmak için şirket ve BT departmanlarına bilgi verilir.
Sızma Testi türleri:
Dış penetrasyon testi, gerçekte hangi bilgilerin dış dünyaya maruz kaldığını belirlemek için ve güvenlik açıklarını kullanması durumunda ne tür tehlikelerle karşı karşıya olduğunuzu öğrenmek için yapılan test türüdür.
İç penetrasyon testi, dâhili BT sistemlerinizde, ağın gizliliğini, kullanılabilirliğini veya bütünlüğünü ihlal etmek için kullanılabilecek ve kuruluşun her tür BT güvenlik zafiyetine izin veren zayıflıklar olup olmadığını kontrol eder.
Web uygulama sızma testi, saldırganlar, kişisel bilgileri içerme olasılığı bulunan gizli bilgilere erişmek için nispeten basit güvenlik açıklarından da yararlanabilir. Bir kuruluşun web uygulamalarının yaygın saldırı türlerine ne kadar dayanıklı olup olmadığının test edilmesidir.
Mobil uygulama sızma testi, gittikçe popüler olan mobil platformların güvenliklerini kontrol etmek için yapılan sızma testleridir.
Sosyal Mühendislik testi, bu test sırasında, uzmanlar hassas bilgilere yetkisiz erişim sağlamak için çalışanları manipüle etmeye çalışır. Bu kuruluşun bilgi güvenliği politikasını ve çalışanlarının bu politikaya bağlılığını test etmesini sağlar.
SCADA / ICS penetrasyon testi, internet’e bağlı cihazlar arasında hem yaygın, ticari cihazlar ve Nesnelerin İnterneti (IoT) sistemleri, hem de otomotiv, tıbbi ve görev açısından kritik endüstriyel kontrol sistemleri (ICS) bulunur. Bu testler temel cihaz testlerinin ötesine geçerek, iletişim kanalları ve protokolleri, şifreleme ve şifrelerin kullanımı, arayüzler ve API’ler, gömülü yazılım, donanım ve diğer kritik alanları kapsayan tüm hedef ekosistemini kapsamaktadır.
Kablosuz Ağ Sızma Testi, Açık kaynaklı güvenlik testi metodolojisi kılavuzunu (OSSTMM) ve Penetrasyon Testi Performans Standardı’nı (PTES), gerçek zamanlı saldırıları bir nokta-zaman güvenlik açığı ve tehdit değerlendirmesi sağlamak için simüle eden kablosuz ağ değerlendirmesi metodolohososidir.
Karmaşık sızma testi, diğer penetrasyon testlerinin aksine, kırmızı ekibin amacı sadece sistemlerinizi değil, aynı zamanda çalışanlarınızı ve süreçlerinizi de test etmektir. Güvenlik merkeziniz tehdide nasıl tepki verecek? Geçici bir çalışanın ağdan veri aldığını fark edecekler mi? Çalışanlarınız virüslü bir USB sürücüsüne sahiplerse bilgisayarlarına yerleştirmeye hazır olacaklar mı? Sorularının cevabını karmaşık sızma testi
Sızma Testi / Pentest / Penetrasyon testi, SIEM, DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.
