Siber Güvenlik ve Sızma testleri veya diğer adı ile pentest, kurumsal ağın ve ağ altyapı öğelerinin korunmasındaki zayıflıkların belirlenmesine yardımcı olur. Teknik olarak, hizmet, penetrasyon olasılığını ve saldırganlar tarafından kullanılan manuel saldırı yöntemlerini kontrol etmek için otomatik araçlar kullanan dış ve iç tehditlerin ve güvenlik açıklarının bir analizidir.
Nihai test sonuçları, güvenlik açıklarının, kritiklik düzeylerinin ve ortadan kaldırılması için önerilerin açıklandığı ayrıntılı bir rapor şeklinde sunulur.
Siber Güvenlik ve Sızma Testleri sırasında aşağıdaki şu problemlere çözüm aranır:
- Sıradan bir çalışan tarafından gizli bilgilere erişim olanağı kontrol edilir.
- Algılanan güvenlik açıklarını etkisiz hale getirmek için öneriler geliştirilir.
- Tanımlanmış bilgi güvenliği açıkları ve kullanım seçenekleri belirlenir
- Yerel ağa dışarıdan girme olasılığını kontrol edilir
- Sıradan bir çalışanın ayrıcalıklarını artırma olasılıkları kontrol edilir
Test metodolojisi her müşteri ile ayrı ayrı kararlaştırılır. Bununla birlikte, sektörde kabul edilen NIST SP800-115 ve OSSTMM (Açık Kaynak Güvenlik Test Metodolojisi Kılavuzu) gibi en iyi uygulamalar her zaman esas alınır.
Pentest’in ana hedefleri nelerdir?
- Şirket güvenlik düzeyinin genel kontrolü.
- Çeşitli standartların ve düzenleyici belgelerin gereksinimlerine uygunluk. Örneğin, ödeme kartı verilerini işleyen şirketlerin yıllık sızma testi yapmasını gerektiren PCI DSS standardının 11.3 maddesi. Aynı zamanda, sızma testi, kart sahibi verilerinin bilgi ortamının tüm çevresini kapsamalıdır. Başka bir örnekle, para transferi şirketlerini yılda en az bir kez pentest yapmaya zorlayan BDDK tarafından yayımlanan 24.07.2012 tarih, B.02.1.BDK.0.77.00.00/010.06.02-1 sayılı maddesinin gerekliliğidir.
Siber Güvenlik ve Sızma Testleri, şu başlıkları içermektedir:
- Mevcut iletişim altyapısı ve kullanılan aktif cihazların kontrolü,
- Adlandırma sistemleri (DNS) Servisleri,
- İstemci etki alanı ve kullanıcı bilgisayarları,
- E-posta hizmeti servisleri,
- Veri tabanları ve Veri Tabanı uygulama sistemleri,
- İnternet ve İntranetlerde kullanılan web uygulamaları,
- Şirket Mobil uygulamaları,
- Kablosuz Ağ Sistemleri,
- ATM Sistemleri,
- Dos ve DDoS gibi Servis Dışı Bırakma Testleri,
- Kod Analizi,
- Sosyal Mühendislik,
- İç Penetrasyon Testi (Intranet Security Checkup),
Siber Güvenlik ve Sızma testi yaptırmanın yararları
- Şirketinizin imajını ve müşteri güvenliğini olumsuz etkileyebilecek olayları önleme,
- “Kağıt üstünde güvenlik” değil, şirketin pratik güvenlik kontrolünün olması,
- Zorunlu PCI DSS, 382-P ve diğer standartlara uygunluk,
- Bilgi sızıntısı ve yetkisiz erişim risklerini azaltmak,
- Bilinen tüm saldırı türlerini simüle eden modern araçların kullanımı,
- Sistemlerinizdeki Bilgi güvenliği bakımından en savunmasız yerleri belirlemeyi sağlar.
- Bilgi güvenliğine yönelik tüm kritik tehditlerin tespiti.
Sızma Testinin Temel Adımları:
- Şirket ve bilgi ortamı hakkında kamuya açık bilgilerin analizi;
- Sosyal mühendislik ile ilgili araştırmalar yapmak;
- İç ve dış kaynakların güvenlik açığı analizi;
- Penetrasyon uygulaması;
- Raporlama dokümanlarının oluşturulması.
Sızma Testi Sonuçlar
Çalışmanın tamamlanmasının ardından, aşağıdaki bilgilerin sunulduğu bir rapor oluşturulur:
- Şirketin iş süreçleri, risklerinin seviyesi, bir saldırganın bunlardan yararlanma yeteneğinin bir değerlendirmesi olan tanımlanmış güvenlik açıklarının ve eksikliklerinin ayrıntılı bir gösterimi,
- Penetrasyonun yapıldığı senaryoların tanımı,
- Test nesnelerinin yapısının ayrıntılı açıklaması,
- Sızma testi sırasında kullanılan yöntem ve araçlar,
- Algılanan güvenlik açıklarını ve eksikliklerini gidermek için öneriler.
Sızma Testleri Öncesi Gizlilik sözleşmesi (NDA)
Bir penetrasyon testi yapmadan önce, SecroMiX ve Müşteri şirketi bir gizlilik sözleşmesi (NDA) imzalar, bu belge penetrasyon testi sırasında elde edilen bilgilerin gizliliğini garanti eder.
Kişisel Verilerin Korunması (KVKK)
7 Nisan 2016 tarihinde yürürlüğe KVKK (Kişisel Verilerin Korunması Kanunu) kanun ile firmalar kişisel verilerin işlenmesi ile ilgili bir takım örgütsel ve teknik önlemler almak konusunda yükümlülükler altına girmiştir.
Bu kanun kapsamında kuruluşlar müşterilerinin, hastaların ve temsilcilerinin kişisel çalışanlarını, diğer çalışanları ve yüklenicilerini işleyen tüm bilgi sistemlerini korumaya tabidir.
Güvenli Uzaktan Erişim
İşletmenizden ve kuruluşun sorunsuz çalışmasından ödün vermeden şirketinizin çalışanlarını uzaktan çalışmaya aktarmak için şirketinize kapsamlı bir hizmet de sunuyoruz.
Uzaktan çalışmaya geçiş sırasında çözülmesi gereken bazı temel teknik sorunlar vardır. Bunlar:
- Çalışanların tüm dosyalara, veri tabanlarına, şirket yazılımlarına uzaktan erişim sağlama,
- Telefon, çevrimiçi sohbet, sesli ve görüntülü konferans yoluyla şirket çalışanları ile müşteriler arasında rahat iletişimin sağlanması,
- Tüm verilerin aktarımının güvence altına alınması ve her uzak iş istasyonunun korunması,
- Çalışanları kontrol etme yeteneğini sağlamak.
SecroMix uzmanları, uzaktan erişim düzenlemeyle ilgili teknik sorunları çözmenize yardımcı olacak ve dünyanın her yerinden çalışanlarınızı güvenli bir şekilde uzaktan çalışabilmenizi sağlayacaktır.
SecroMix olarak bilgi sistemlerinin saldırı direncine yönelik uygulamalı güvenlik testleri yapıyoruz. Sosyal mühendislik yöntemlerini kullanarak sızma testi, bilgi altyapılarının güvenliğini ve DDoS dayanıklılığını değerlendiriyoruz. Biz siber alanda kullanılan saldırı ve koruma yöntemlerini çok iyi biliyor ve bunları kuruluşunuza aktarmaya çalışıyoruz.
Neden SecroMix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri/pentest/penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.