Sızma Testi

Sızma Testi / Penetrasyon Testi / Pentest Hizmeti

Doğal olarak, davetsiz bir misafir iyi kilitlenmiş bir kapıyı açmak için aylar harcamak istemez, ancak güvenliğin öncelikli olmadığı bilgi sistemlerinde zayıf noktaları ve güvenlik açıklarını arayacaktır. Görünüşe göre küçük güvenlik açıkları ciddi sonuçlara yol açabilir ve sistemin tehlikeye girmesine neden olabilir. Bu riskleri azaltmanın en iyi yolu sızma testleri yaptırmaktır.

Kuruluşunuzun olası ihlalleri önlemek ve mevcut güvenlik kontrollerini kalifiye bir saldırgana karşı güçlendirmek için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi hizmetleri sunmaktadır.

Sızma Testi (Pentest / Penetrasyon Testi) Nedir?

secromix-szma-testi-penetrasyon-testi-pentest-4-1014x570

Sızma Testi / Penetrasyon Testi, şirketinizin bilişim sisteminin hacker saldırılarına karşı ne kadar korunduğunu kontrol etmeyi sağlayan testlerdir. Sızma testi / Penetrasyon testi şirketinizin bilişim faaliyetlerini sabote etmek amacıyla kötü niyetli kişiler tarafından yapılabilecek olası saldırıları önlemeye yarayan bir ön testtir. Bu test ile iç ve dış ağ sistemleri, veri tabanları, web ve mobil uygulamaları dahil tüm sistemin güçlü ve zayıf noktaları belirlenerek olası saldırılar gerçekleşmeden önüne geçilmeye çalışılır.

Pentest /Penetrasyon testi ismi ile de bilinen sızma testi, yetkili ve profesyonel personellerimiz tarafından yasal izinler çerçevesinde sisteminizin bir ön taraması gerçekleştirilerek yapılır ve özellikle sisteminizin zayıf noktalarını açığa çıkarmayı hedefler. Zayıf noktalar açığa çıkarıldıktan sonra bu noktaların ne gibi saldırılara maruz kalabileceği ve sisteminizin güvenlik protokollerini nasıl aşabileceği öngörülerek gerekli güvenlik önlemleri alınır. Kuruluşunuzun daha güvenilir hale getirilmesi için yasal ve yetkili kişilerce yapılan Sızma testi / penetrasyon testi, sisteme yönelik potansiyel tehditlerin bir bütün olarak etkisiz hale getirilmesine yardımcı olabilir.

Sızma testi / penetrasyon testi ile gerçek bilgisayar korsanlarının eylemlerini simüle ederek web sitenizdeki güvenlik açıklarını, kurumsal altyapınızı, mobil uygulamalarınızı ve diğer tüm BT sistemleri test edilir. Sistemin izinsiz girişlere karşı savunmasız olan alanlarını tanımlamak, yetkisiz ve kötü niyetli kullanıcılardan veya kuruluşlara karşı güvenlik tedbirleri almak için kullanılır.

Kuruluşunuzun olası ihlallerini önlemek ve mevcut güvenlik kontrollerini kalifiye bir saldırgana karşı güçlendirmek için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi / Penetrasyon testi hizmetleri sunmaktadır.

Sızma Testine (Pentest / Penetrasyon Testi) ne zaman ihtiyacınız olur?

Sunduğumuz sızma testi / penetrasyon testi türleri

Sızma (Pentest / Penetrasyon) testinin faydaları

Güvenlik açıklarının tam görünümü

Gerçek güvenlik tehditleri hakkında ayrıntılı bilgi veriyoruz, “false positive”lerle birlikte en kritik ve daha az önemli güvenlik açıklarını tanımlamaya yardımcı oluyoruz, böylece Müşteri düzeltmeyi önceliklendirebilir, gerekli güvenlik yamalarını uygulayabilir ve güvenlik kaynaklarını tahsis edebilir.

Mevzuata uygunluk (KVKK, GDPR, HIPAA, PCI DSS, FISMA)

Sızma testinden sonra oluşturulan ayrıntılı raporlar, uygunsuzluk nedeniyle cezaların önlenmesine yardımcı olur ve gerekli güvenlik kontrollerini koruyarak denetçilere gereken özeni göstermeye izin verir.

İş: Verimliliği
artıran iletişim

SecroMix’in ekibi, saldırılardan veya güvenlik ihlallerinden önce riskleri belirleyerek ve ele alarak finansal tuzaklardan kaçınmak için özel rehberlik ve öneriler sunar.

Sızma testi / Penetrasyon testi hazırlık adımları nelerdir?

secromix-szma-testi-penetrasyon-testi-pentest-5-1024x771

Sızma testi / Penetrasyon testi için bir hedef tanımlama

Hedef, sistemde bir saldırganın ilgisini çeken bazı istenmeyen eylemler olabilir. En lezzetli lokmalar, örneğin para transferleriyle ilgili maddi faydalar elde etmenin kolay olduğu hizmetlerdir.

Davetsiz misafir modeli seçme

Test nesnesinin güvenliğine bakmanın mantıklı olduğu bakış açısından herhangi bir rol, failin bir modeli olarak alınabilir. Bu, şirketin web sitesine giren harici bir anonim kullanıcı, müşterisi, bir ofis ziyaretçisi veya yeni işe alınmış bir çalışan olabilir veya bir sistem yöneticisi veya orta yönetici olabilir.

Test Yöntemi Seçme

Sızma testi / Penetrasyon testi , sistem hakkında sağlanan bilgi miktarına bağlı olarak siyah, gri ve beyaz kutu yöntemleri kullanılarak yapılabilir. Bu faktör önemlidir, çünkü testler sınırlı bir süre içinde gerçekleştirilir ve bilgi eksikliği durumunda, toplama ve analiz için harcanması gerekecektir.

secromix-szma-testi-penetrasyon-testi-pentest-blackbox-siyah-kutu-test-564x578

Siyah Kutu (Black Box)

Bu yöntem, test edilen sistem hakkında hiçbir bilgi verilmediğini varsayar ve sızma testi yapan kişi, ilgilenen tüm bilgileri bağımsız olarak toplamalıdır.

secromix-szma-testi-penetrasyon-testi-pentest-whitebox-beyaz-kutu-test-564x578

Beyaz Kutu (White Box)

Sistemin tam bir açıklamasını içeren bilgilerin istendiği durumlardır. Bu yöntem, yükleniciye talep ettiği sistem hakkında güvenlikle ilgili ağ diyagramı, sistemin iç mimarisinin bir açıklaması ve uygulanan koruma araçları gibi tüm bilgilerin aktarılmasını sağlar.

secromix-szma-testi-penetrasyon-testi-pentest-graybox-gri-kutu-test-564x578

Gri Kutu (Gray Box)

Bazı yazılım sürüm bilgileri ve farklı hesap bilgileri gibi ek bilgiler ve belgeler talep edilen mimarinin bir açıklaması istenilen sızma testi yöntemidir. Bu seçenekte müşteri, uzmanlara önceden kararlaştırılmış sınırlı bir bilgi dizisini iletir.

Zafiyet taraması için davetsiz misafirlerin türü (müşteriler, çalışanlar veya diğer üçüncü kişiler) belirlemek potansiyel saldırganların rollerini öğrenme konusunda çok önemlidir.

Sızma testleri / penetrasyon testleri genel olarak, 2-3 hafta sürebilir, bu süre zarfında ara sonuçlar verilir ve sonuçlara dayanarak önerileri içeren ayrıntılı bir rapor (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001 standartlarına uygun) size hazırlanır. Güvenlik açıkları testi yaptıranlar tarafından giderildikten sonra tekrar kontroller yapılır. (Doğrulama testi)

Uluslararası standartlara uygunluk (BDDK, GDPR, KVKK, ISO 27001 kapsamlarında sızma testi/ penetrasyon testi)

Günümüz dünyasında oluşan siber saldırılara baktığımız zaman bir insan gözü ile veya bir personel ile bu saldırıların tespiti imkansıza yakındır. İçinde bulunduğumuz teknoloji çağında IP almayan bir elektronik cihaz kalmadı denebilecek kadar azaldı. Teknolojinin hayatımızı kolaylaştıran yanları olduğu gibi beraberinde getirdiği birde siber güvenlik sorunsalı da oluştu. GDPR, KVKK, ISO-27001 gibi regülasyonlar da bu soruna dikkat çekecek düzenlemeler ile kurumları siber saldırılara karşı bulundukları riskleri ve alması gereken önlemleri yasalaştırdı.

secromix-szma-testi-penetrasyon-testi-pentest-2-1024x550

Neden Sızma Testi / Penetrasyon Testi Yaptırmalıyız?

BT altyapısında Güvenlik seviyesini belirleyen birçok ayarlamalar mevcuttur. Siz ne kadar da tüm güvenlik kurallarını yerine getirdiğinizi düşünseniz dahi saldırganların sisteminize zarar vermek için kullanacakları yöntemlerin sonu yoktur.

Gözünüzden kaçabilecek ya da hackerların (yetkisiz ve kötü niyetli kişilerin) yeni tekniklerine karşı ileride daha büyük sorunların ortaya çıkmasına meydan vermemek için sisteminizi Siber Yazılım uzmanlarına test ettirmekte fayda vardır.

Sızma testi / Penetrasyon testi, aşağıdaki ana türlere ayrılabilen farklı hedeflere sahip olabilir:

Sızma Testi Süreçleri / Penetrasyon Testi Süreçleri şunları içerir:

  •  Pasif bilgi toplama,
  •  Port tarama,
  •  Ağ ekipmanı türleri ve tanımı,
  •  Ağ altyapısında kullanılan işletim sistemi türlerinin belirlenmesi,
  •  Ağ altyapısında bitişik çevre birimlerinin türleri,
  •  Özel cihaz türlerinin ve kombinasyonlarının tanımlanması,
  •  Alınan bilgilerin toplanması ve analizi,
  • “Giriş noktalarının” tanımı,
  •  Saldırı vektörlerinin tanımı,
  •  Sızmaya teşebbüs,
  •  Güvenlik açıklarının tespiti,
  •  Alınan vektörlerin doğrulanması,
  •  Kritik güvenlik açıkları için çözüm önerileri,
  •  Rapor (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun) yazımı.

Sızma testi / Penetrasyon testi çok çeşitli özel programlar ve uygulamalar (şifre seçimi, IP ağ bağlantı noktası güvenlik açıklarını arama, kötü amaçlı yazılım algılama) kullanılarak gerçekleştirilir ve çok sayıda kontrol noktasını kapsar.

En yaygın olanları şunlardır:

  • Bilgi toplama (açık kaynaklarda müşteri verilerini tarama, çalışanların onaylarına ilişkin verileri toplama),
  • Teknik alt yapının incelenmesi (mevcut kaynaklar, işletim sistemleri, yazılım ve uygulamalar hakkındaki verilerin tanımlanması ve toplanması),
  • Güvenlik açığı ve tehdit analizi (özel programlar ve yardımcı programlar kullanarak güvenlik sistemleri, uygulamalar ve yazılımlardaki güvenlik açıklarının tespiti),
  • Verilerin çekilmesi ve işlenmesi (bu aşamada, bir saldırganın gerçek bir saldırısı, sonraki analiz amacıyla mevcut güvenlik açıkları ve ayrıca sistemin hacklenmesi ve ekonomik risklerin hesaplanması tarihlerinde veri toplanması amacıyla bilgi almak için simüle edilir),
  • Rapor oluşturma (alınan bilgileri işleme aşaması, mevcut güvenlik açıklarını ortadan kaldırmak için öneriler ve talimatlar hazırlama, KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporlama).

Sızma testi / penetrasyon testi sonuç raporu

• Tanımlanan güvenlik açıklarının ayrıntılı açıklaması
• Bulunan güvenlik açıklarını ortadan kaldırmak için öneriler
• Derlenen saldırı vektörlerinin, uygulamalarının elde edilen sonuçlarıyla birlikte açıklaması
• Şirket yönetimi için sunum yapma imkanı

Sızma testi / penetrasyon testi sonuç raporu

Sızma testi / Penetrasyon testi, bazı bilgi güvenliği standartları için zorunlu bir güvenlik kontrolüdür. Örneğin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardının (PCI DSS) Gereksinimi 11.3, ağ ve uygulama seviyelerinde ödeme bilgileri altyapısı içinde harici ve dahili olarak uygulanmasını düzenler. Ek olarak, sızma testi / penetrasyon testi KVKK ve BDDK Kurumları tavsiyeleri ile şart koşulmaktadır. Şirketimiz, güven seviyesi gereksinimlerine göre güvenlik açığı analizi yapma ve yönetmelik gerekliliklerine uygun olarak sızma testi / penetrasyon testi yapma yetkisine sahiptir.

Sızma Testi / Penetrasyon Testi yaptırdıktan sonra?

Sonuçlar ve raporlar (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporu) size sunulduktan sonra açıkları bir an önce kapatarak bir sonraki sızma testi / penetrasyon testi zayıf ve güvensiz yerleri tanımlamak ve güvenliği artırmak için yeni zamanlama yapılmalıdır. Bu zamanlama ile doğrulama testi gerçekleştirilmiş olur.

Sızma testi / penetraston testi araçları nelerdir?

Popüler sızma testi / penetrasyon testi araçlarının ve uygulamalarının çoğunu içeren birkaç popüler güvenlik dağıtımı vardır. Genellikle mevcut Linux dağıtımlarını temel alırlar ve revize edilmiş sürümleridir. Bu makalede en ünlüleri sunulacak.

kali-sizma-testi-penetrasyon-testi-pentest-676x370

Kali Linux

Günümüzde en popüler dağıtımtır. Backtrack Linux’un halefidir.
Kali Linux, Wireshark, Nmap, Armitage, Aircrack, Burp Suite gibi 600’den fazla güvenlik aracıyla birlikte gelen inanılmaz derecede güçlü bir sızma test / penetrasyon test aracıdır.

blackarch-szma-testi-penetrasyon-testi-pentest-676x423

BlackArch

BlackArch Linux, özellikle uzmanlar ve güvenlik uzmanları için tasarlanmıştır. i686 ve x86_64 mimarilerini destekler. Kurulum kiti şu anda 1.359 sızma testi / penetrasyon test aracı içeriyor ve sayı sürekli artıyor. Temeli Arch Linux’a dayanmaktadır.

parrot-security-szma-testi-penetrasyon-testi-pentest-676x388

Parrot Security İşletim Sistemi

Debian-linux tabanlı, giderek daha popüler hale gelen bir güvenlik dağıtımıdır. Hem yeni başlayanlar hem de profesyoneller için uygun, öğrenmesi oldukça kolaydır. Bu dağıtım, hem sızma testi / penetrasyon testi hem de İnternette anonim çalışmayı hedeflemektedir.

Sızma testi / penetrasyon testi yapan firmalar

Siber suçlar konusu son zamanlarda yükselişe geçti. Müşterilerin verilerinin korunması yalnızca Türkiye’de değil, aynı zamanda dünyadaki büyük çaplı hırsızlıklarıyla ilgili bilgiler düzenli olarak çıkıyor. Sürekli yeni siber saldırı yöntemleri ortaya çıkıyor.

Küresel haber ajanslarından gelen haber raporları siber saldırı haberleriyle dolu. Sorun küresel ve tehlike gittikçe artıyor.

Buradaki önemli nokta ise sızma testi hizmeti veren firmalar. Birçok sızma testi şirketi, tüm kritik güvenlik açıklarını tespit etmeyen, savunmalara direnmeyen ve saldırı vektörleri oluşturmayan otomatik yazılımlar kullanır. Dahası, bu tür şirketler, gelişmiş bilgisayar korsanlarının sıklıkla yaptığı gibi, kendi açıklarını yazma konusunda yeterli uzmanlığa sahip olmayabilir. Bu nedenle, gerçekte hizmette eksiklikler olabilir. Ve bu bazen müşteri için tehlikeli durumlar oluşturabilir.