Sızma Testi / Penetrasyon Testi / Pentest Hizmeti

Doğal olarak, davetsiz bir misafir iyi kilitlenmiş bir kapıyı açmak için aylar harcamak istemez, ancak güvenliğin öncelikli olmadığı bilgi sistemlerinde zayıf noktaları ve güvenlik açıklarını arayacaktır. Görünüşe göre küçük güvenlik açıkları ciddi sonuçlara yol açabilir ve sistemin tehlikeye girmesine neden olabilir. Bu riskleri azaltmanın en iyi yolu sızma testleri yaptırmaktır.

Kuruluşunuzun olası ihlalleri önlemek ve mevcut güvenlik kontrollerini kalifiye bir saldırgana karşı güçlendirmek için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi hizmetleri sunmaktadır.

Sızma Testine (Pentest / Penetrasyon Testi) ne zaman ihtiyacınız olur?

Aşağıdaki durumlarda bir sızma testi yaptırmanızı öneririz:

1

Denetleyici makamlar tarafından düzenli olarak planlanan analiz ve değerlendirme taleplerinde,

2

Yeni ağ altyapısı veya uygulamalar eklendiğinde,

3

Altyapı veya uygulamalarda önemli yükseltmeler veya değişiklikler yapıldığında,

4

Yeni ofis yerleri kurulduğunda,                           

5

Son kullanıcı politikaları değiştirildiğinde,                           

6

Kurumsal BT önemli ölçüde değiştirildiğinde,                         

Sunduğumuz sızma testi / penetrasyon testi türleri

  • Ağ hizmetleri sızma testi / penetrasyon testi
  • İstemci tarafı sızma testi / penetrasyon testi
  • Mobil uygulama sızma testi / penetrasyon testi
  • Web uygulaması sızma testi / penetrasyon testi
  • Uzaktan erişim sızma testi / penetrasyon testi 
  • Fiziksel sızma testi / penetrasyon testi
  • Sosyal mühendislik testleri
  • DDoS testleri

Sızma (Pentest / Penetrasyon) testinin faydaları

 

1.

Güvenlik açıklarının tam görünümü

Gerçek güvenlik tehditleri hakkında ayrıntılı bilgi veriyoruz, "false positive"lerle birlikte en kritik ve daha az önemli güvenlik açıklarını tanımlamaya yardımcı oluyoruz, böylece Müşteri düzeltmeyi önceliklendirebilir, gerekli güvenlik yamalarını uygulayabilir ve güvenlik kaynaklarını tahsis edebilir.

2.

Mevzuata uygunluk (KVKK, GDPR, HIPAA, PCI DSS, FISMA / NIST)

Sızma testinden sonra oluşturulan ayrıntılı raporlar, uygunsuzluk nedeniyle cezaların önlenmesine yardımcı olur ve gerekli güvenlik kontrollerini koruyarak denetçilere gereken özeni göstermeye izin verir.

3.

 Sistem / ağ kesintisi maliyetinden kaçınma

SecroMix’in ekibi, saldırılardan veya güvenlik ihlallerinden önce riskleri belirleyerek ve ele alarak finansal tuzaklardan kaçınmak için özel rehberlik ve öneriler sunar.

Sızma testi / Penetrasyon testi hazırlık adımları nelerdir?

secromix-sızma-testi-penetrasyon-testi-pentest
1

Sızma testi / Penetrasyon testi için bir hedef tanımlama

Hedef, sistemde bir saldırganın ilgisini çeken bazı istenmeyen eylemler olabilir. En lezzetli lokmalar, örneğin para transferleriyle ilgili maddi faydalar elde etmenin kolay olduğu hizmetlerdir.

2

Davetsiz misafir modeli seçme

Test nesnesinin güvenliğine bakmanın mantıklı olduğu bakış açısından herhangi bir rol, failin bir modeli olarak alınabilir. Bu, şirketin web sitesine giren harici bir anonim kullanıcı, müşterisi, bir ofis ziyaretçisi veya yeni işe alınmış bir çalışan olabilir veya bir sistem yöneticisi veya orta yönetici olabilir.

3

Test Yöntemi Seçme

Sızma testi / Penetrasyon testi , sistem hakkında sağlanan bilgi miktarına bağlı olarak siyah, gri ve beyaz kutu yöntemleri kullanılarak yapılabilir. Bu faktör önemlidir, çünkü testler sınırlı bir süre içinde gerçekleştirilir ve bilgi eksikliği durumunda, toplama ve analiz için harcanması gerekecektir.

Zafiyet taraması için davetsiz misafirlerin türü (müşteriler, çalışanlar veya diğer üçüncü kişiler) belirlemek potansiyel saldırganların rollerini öğrenme konusunda çok önemlidir.

Sızma testleri / penetrasyon testleri genel olarak, 2-3 hafta sürebilir, bu süre zarfında ara sonuçlar verilir ve sonuçlara dayanarak önerileri içeren ayrıntılı bir rapor (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001 standartlarına uygun) size hazırlanır. Güvenlik açıkları testi yaptıranlar tarafından giderildikten sonra tekrar kontroller yapılır. (Doğrulama testi)

secromix-sızma-testi-penetrasyon-testi-pentest

Uluslararası standartlara uygunluk (BDDK, GDPR, KVKK, ISO 27001 kapsamlarında sızma testi/ penetrasyon testi)

Günümüz dünyasında oluşan siber saldırılara baktığımız zaman bir insan gözü ile veya bir personel ile bu saldırıların tespiti imkansıza yakındır. İçinde bulunduğumuz teknoloji çağında IP almayan bir elektronik cihaz kalmadı denebilecek kadar azaldı. Teknolojinin hayatımızı kolaylaştıran yanları olduğu gibi beraberinde getirdiği birde siber güvenlik sorunsalı da oluştu. GDPR, KVKK, ISO-27001 gibi regülasyonlar da bu soruna dikkat çekecek düzenlemeler ile kurumları siber saldırılara karşı bulundukları riskleri ve alması gereken önlemleri yasalaştırdı.

Neden Sızma Testi / Penetrasyon Testi Yaptırmalıyız?

BT altyapısında Güvenlik seviyesini belirleyen birçok ayarlamalar mevcuttur. Siz ne kadar da tüm güvenlik kurallarını yerine getirdiğinizi düşünseniz dahi saldırganların sisteminize zarar vermek için kullanacakları yöntemlerin sonu yoktur.

Gözünüzden kaçabilecek ya da hackerların (yetkisiz ve kötü niyetli kişilerin) yeni tekniklerine karşı ileride daha büyük sorunların ortaya çıkmasına meydan vermemek için sisteminizi Siber Yazılım uzmanlarına test ettirmekte fayda vardır.
Sızma testi / Penetrasyon testi, aşağıdaki ana türlere ayrılabilen farklı hedeflere sahip olabilir:

Güvenlik analizi

Mümkün olduğunca çok güvenlik açığı ararken, kritik bir güvenlik açığı algılandığında test durmadan devam eder.

Sızma testi

Bazı gizli bilgileri elde etme ve şifreleri kırma, arka plan çalma veya belirlenmiş başka bir hedefe ulaşma girişimi.

Takım

Minimum kısıtlamalarla sisteme gizlice girmeye yönelik uzun girişim denemeleri yapılır. Buna kimlik avı, ofise fiziksel olarak sızma girişimleri ve müşterinin çalışanlarının izlenmesi ve alınan tedbirlerin kontrolü de dahil olabilir.

Sızma Testi Süreçleri / Penetrasyon Testi Süreçleri şunları içerir:

• Pasif bilgi toplama,
• Port tarama,
• Ağ ekipmanı türleri ve tanımı,
• Ağ altyapısında kullanılan işletim sistemi türlerinin belirlenmesi,
• Ağ altyapısında bitişik çevre birimlerinin türleri,
• Özel cihaz türlerinin ve kombinasyonlarının tanımlanması,
• Alınan bilgilerin toplanması ve analizi,
• “Giriş noktalarının” tanımı,
• Saldırı vektörlerinin tanımı,
• Sızmaya teşebbüs,
• Güvenlik açıklarının tespiti,
• Alınan vektörlerin doğrulanması,
• Kritik güvenlik açıkları için çözüm önerileri,
• Rapor (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun) yazımı.
Sızma testi / Penetrasyon testi çok çeşitli özel programlar ve uygulamalar (şifre seçimi, IP ağ bağlantı noktası güvenlik açıklarını arama, kötü amaçlı yazılım algılama) kullanılarak gerçekleştirilir ve çok sayıda kontrol noktasını kapsar.
En yaygın olanları şunlardır:
• Bilgi toplama (açık kaynaklarda müşteri verilerini tarama, çalışanların onaylarına ilişkin verileri toplama),
• Teknik alt yapının incelenmesi (mevcut kaynaklar, işletim sistemleri, yazılım ve uygulamalar hakkındaki verilerin tanımlanması ve toplanması),
• Güvenlik açığı ve tehdit analizi (özel programlar ve yardımcı programlar kullanarak güvenlik sistemleri, uygulamalar ve yazılımlardaki güvenlik açıklarının tespiti),
• Verilerin çekilmesi ve işlenmesi (bu aşamada, bir saldırganın gerçek bir saldırısı, sonraki analiz amacıyla mevcut güvenlik açıkları ve ayrıca sistemin hacklenmesi ve ekonomik risklerin hesaplanması tarihlerinde veri toplanması amacıyla bilgi almak için simüle edilir),
• Rapor oluşturma (alınan bilgileri işleme aşaması, mevcut güvenlik açıklarını ortadan kaldırmak için öneriler ve talimatlar hazırlama, KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporlama).


Sızma testi / penetrasyon testi sonuç raporu
• Tanımlanan güvenlik açıklarının ayrıntılı açıklaması
• Bulunan güvenlik açıklarını ortadan kaldırmak için öneriler
• Derlenen saldırı vektörlerinin, uygulamalarının elde edilen sonuçlarıyla birlikte açıklaması
• Şirket yönetimi için sunum yapma imkanı

Sızma testi / penetrasyon testi kontrol listesi nedir?

Sızma testi / Penetrasyon testi, bazı bilgi güvenliği standartları için zorunlu bir güvenlik kontrolüdür. Örneğin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardının (PCI DSS) Gereksinimi 11.3, ağ ve uygulama seviyelerinde ödeme bilgileri altyapısı içinde harici ve dahili olarak uygulanmasını düzenler. Ek olarak, sızma testi / penetrasyon testi KVKK ve BDDK Kurumları tavsiyeleri ile şart koşulmaktadır. Şirketimiz, güven seviyesi gereksinimlerine göre güvenlik açığı analizi yapma ve yönetmelik gerekliliklerine uygun olarak sızma testi / penetrasyon testi yapma yetkisine sahiptir. 

Sızma Testi / Penetrasyon Testi yaptırdıktan sonra?

Sonuçlar ve raporlar (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporu) size sunulduktan sonra açıkları bir an önce kapatarak bir sonraki sızma testi / penetrasyon testi zayıf ve güvensiz yerleri tanımlamak ve güvenliği artırmak için yeni zamanlama yapılmalıdır. Bu zamanlama ile doğrulama testi gerçekleştirilmiş olur.

Sızma testi / penetrasyon testi yapan firmalar

Siber suçlar konusu son zamanlarda yükselişe geçti. Müşterilerin verilerinin korunması yalnızca Türkiye’de değil, aynı zamanda dünyadaki büyük çaplı hırsızlıklarıyla ilgili bilgiler düzenli olarak çıkıyor. Sürekli yeni siber saldırı yöntemleri ortaya çıkıyor. Küresel haber ajanslarından gelen haber raporları siber saldırı haberleriyle dolu. Sorun küresel ve tehlike gittikçe artıyor.
Buradaki önemli nokta ise sızma testi hizmeti veren firmalar. Birçok sızma testi şirketi, tüm kritik güvenlik açıklarını tespit etmeyen, savunmalara direnmeyen ve saldırı vektörleri oluşturmayan otomatik yazılımlar kullanır. Dahası, bu tür şirketler, gelişmiş bilgisayar korsanlarının sıklıkla yaptığı gibi, kendi açıklarını yazma konusunda yeterli uzmanlığa sahip olmayabilir. Bu nedenle, gerçekte hizmette eksiklikler olabilir. Ve bu bazen müşteri için tehlikeli durumlar oluşturabilir.

Ekibimiz, en prestijli CTF (Capture the Flag) hack yarışmalarına katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001), araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.

Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.

secromix-sızma-testi-penetrasyon-testi-pentest

Unutmayın sistem sızma testleri / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin zorunlu bir gereksinimidir ve asla ihmal edilmemelidir.



İletişim bilgilerinizi bırakın, alanında sertifikalı uzmanlarımız sizinle iletişime geçsin.

Designed with Mobirise