Sızma Testi / Penetrasyon Testi / Pentest Hizmeti

Doğal olarak, davetsiz bir misafir iyi kilitlenmiş bir kapıyı açmak için aylar harcamak istemez, ancak güvenliğin öncelikli olmadığı bilgi sistemlerinde zayıf noktaları ve güvenlik açıklarını arayacaktır. Görünüşe göre küçük güvenlik açıkları ciddi sonuçlara yol açabilir ve sistemin tehlikeye girmesine neden olabilir. Bu riskleri azaltmanın en iyi yolu sızma testleri yaptırmaktır.

Kuruluşunuzun olası ihlalleri önlemek ve mevcut güvenlik kontrollerini kalifiye bir saldırgana karşı güçlendirmek için SecroMix ekibi, özel ağ altyapısını ve uygulamalarını hedefleyen çok aşamalı bir saldırı planına dayanan Sızma testi hizmetleri sunmaktadır.

SIZMA TESTİNE (Pentest / Penetrasyon Testi) NE ZAMAN İHTİYACINIZ OLUR

Aşağıdaki durumlarda bir sızma testi yaptırmanızı öneririz:

1

Denetleyici makamlar tarafından düzenli olarak planlanan analiz ve değerlendirme taleplerinde,

2

Yeni ağ altyapısı veya uygulamalar eklendiğinde,

3

Altyapı veya uygulamalarda önemli yükseltmeler veya değişiklikler yapıldığında,

4

Yeni ofis yerleri kurulduğunda,                           

5

Son kullanıcı politikaları değiştirildiğinde,                           

6

Kurumsal BT önemli ölçüde değiştirildiğinde,                         

Sunduğumuz sızma / penetrasyon testi türleri:

Ağ hizmetleri pentesti

 

Web uygulaması sızma testi

 

İstemci tarafı penetrasyon testi

 

Uzaktan erişim pentesti

 

Sosyal mühendislik testi

 

Fiziksel penetrasyon testi

 

SIZMA (PENTEST / PENETRASYON) TESTİNİN FAYDALARI

 

1.

Güvenlik açıklarının tam görünümü

Gerçek güvenlik tehditleri hakkında ayrıntılı bilgi veriyoruz, "false positive"lerle birlikte en kritik ve daha az önemli güvenlik açıklarını tanımlamaya yardımcı oluyoruz, böylece Müşteri düzeltmeyi önceliklendirebilir, gerekli güvenlik yamalarını uygulayabilir ve güvenlik kaynaklarını tahsis edebilir.

2.

Mevzuata uygunluk (KVKK, GDPR, HIPAA, PCI DSS, FISMA / NIST)

Sızma testinden sonra oluşturulan ayrıntılı raporlar, uygunsuzluk nedeniyle cezaların önlenmesine yardımcı olur ve gerekli güvenlik kontrollerini koruyarak denetçilere gereken özeni göstermeye izin verir.

3.

 Sistem / ağ kesintisi maliyetinden kaçınma

SecroMix’in ekibi, saldırılardan veya güvenlik ihlallerinden önce riskleri belirleyerek ve ele alarak finansal tuzaklardan kaçınmak için özel rehberlik ve öneriler sunar.

Sızma Testi (Pentest / Penetrasyon Testi) Nedir?

 Sızma Testi / Penetrasyon Testi, şirketinizin bilişim sisteminin hacker saldırılarına karşı ne kadar korunduğunu kontrol etmeyi sağlayan testlerdir. İç ve dış ağ sistemleri, veri tabanları, web ve mobil uygulamalarının daha güvenilir hale getirilmesi için yasal ve yetkili kişilerce yapılan testlerdir. Sızma testi / penetrasyon testi, sisteme yönelik potansiyel tehditlerin bir bütün olarak etkisiz hale getirilmesine yardımcı olabilir. 
Sızma testi / penetrasyon testi ile gerçek bilgisayar korsanlarının eylemlerini simüle ederek web sitenizdeki güvenlik açıklarını, kurumsal altyapınızı, mobil uygulamalarınızı ve diğer tüm BT sistemleri test edilir. Sistemin izinsiz girişlere karşı savunmasız olan alanlarını tanımlamak, yetkisiz ve kötü niyetli kullanıcılardan veya kuruluşlara karşı güvenlik tedbirleri almak için kullanılır.

Sızma Testi (Pentest) / Penetrasyon Testi nasıl yapılır?
İlk önce testin hedeflerini ve şeklini belirlemeniz gerekir. Farklı seviyelerde sızma testleri / penetrasyon testleri mevcuttur. Bunun için belirlenmiş üç kabul gören yöntem vardır:

Siyah Kutu (Black Box), yalnızca şirket adı, web sitesi adresi veya kullanılan IP adresleri gibi giriş noktasını bilinmesi gereken şekilde, 
Gri Kutu (Gray Box), bazı yazılım sürüm bilgileri ve farklı hesap bilgileri gibi ek bilgiler ve belgeler talep edilen mimarinin bir açıklaması istenilen şekilde,
Beyaz Kutu (White Box), sistemin tam bir açıklamasını, içeren bilgilerin istendiği durumlardır.
Zafiyet taraması için davetsiz misafirlerin türü (müşteriler, çalışanlar veya diğer üçüncü kişiler) belirlemek potansiyel saldırganların rollerini öğrenme konusunda çok önemlidir.
Sızma testleri / penetrasyon testleri genel olarak, 2-3 hafta sürebilir, bu süre zarfında ara sonuçlar verilir ve sonuçlara dayanarak önerileri içeren ayrıntılı bir rapor (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001 standartlarına uygun) size hazırlanır. Güvenlik açıkları testi yaptıranlar tarafından giderildikten sonra tekrar kontroller yapılır. (Doğrulama testi)

Neden Sızma Testi / Penetrasyon Testi Yaptırmalıyız?
BT altyapısında Güvenlik seviyesini belirleyen birçok ayarlamalar mevcuttur. Siz ne kadar da tüm güvenlik kurallarını yerine getirdiğinizi düşünseniz dahi saldırganların sisteminize zarar vermek için kullanacakları yöntemlerin sonu yoktur.
Gözünüzden kaçabilecek ya da hackerların (yetkisiz ve kötü niyetli kişilerin) yeni tekniklerine karşı ileride daha büyük sorunların ortaya çıkmasına meydan vermemek için sisteminizi Siber Yazılım uzmanlarına test ettirmekte fayda vardır.
Sızma testi / Penetrasyon testi, aşağıdaki ana türlere ayrılabilen farklı hedeflere sahip olabilir:
Güvenlik analizi: mümkün olduğunca çok güvenlik açığı ararken, kritik bir güvenlik açığı algılandığında test durmadan devam eder.
Sızma testi: bazı gizli bilgileri elde etme ve şifreleri kırma, arka plan çalma veya belirlenmiş başka bir hedefe ulaşma girişimi.
Takım: minimum kısıtlamalarla sisteme gizlice girmeye yönelik uzun girişim denemeleri yapılır. Buna kimlik avı, ofise fiziksel olarak sızma girişimleri ve müşterinin çalışanlarının izlenmesi ve alınan tedbirlerin kontrolü de dahil olabilir.

Sızma Testi Süreçleri / Penetrasyon Testi Süreçleri şunları içerir:
• Pasif bilgi toplama,
• Port tarama,
• Ağ ekipmanı türleri ve tanımı,
• Ağ altyapısında kullanılan işletim sistemi türlerinin belirlenmesi,
• Ağ altyapısında bitişik çevre birimlerinin türleri,
• Özel cihaz türlerinin ve kombinasyonlarının tanımlanması,
• Alınan bilgilerin toplanması ve analizi,
• “Giriş noktalarının” tanımı,
• Saldırı vektörlerinin tanımı,
• Sızmaya teşebbüs,
• Güvenlik açıklarının tespiti,
• Alınan vektörlerin doğrulanması,
• Kritik güvenlik açıkları için çözüm önerileri,
• Rapor (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun) yazımı.

Sızma testi / Penetrasyon testi çok çeşitli özel programlar ve uygulamalar (şifre seçimi, IP ağ bağlantı noktası güvenlik açıklarını arama, kötü amaçlı yazılım algılama) kullanılarak gerçekleştirilir ve çok sayıda kontrol noktasını kapsar. En yaygın olanları şunlardır:

• Bilgi toplama (açık kaynaklarda müşteri verilerini tarama, çalışanların onaylarına ilişkin verileri toplama),
• Teknik alt yapının incelenmesi (mevcut kaynaklar, işletim sistemleri, yazılım ve uygulamalar hakkındaki verilerin tanımlanması ve toplanması),
• Güvenlik açığı ve tehdit analizi (özel programlar ve yardımcı programlar kullanarak güvenlik sistemleri, uygulamalar ve yazılımlardaki güvenlik açıklarının tespiti),
• Verilerin çekilmesi ve işlenmesi (bu aşamada, bir saldırganın gerçek bir saldırısı, sonraki analiz amacıyla mevcut güvenlik açıkları ve ayrıca sistemin hacklenmesi ve ekonomik risklerin hesaplanması tarihlerinde veri toplanması amacıyla bilgi almak için simüle edilir),
• Rapor oluşturma (alınan bilgileri işleme aşaması, mevcut güvenlik açıklarını ortadan kaldırmak için öneriler ve talimatlar hazırlama) (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporlama),

Sızma Testi / Penetrasyon Testi Yaptırdıktan Sonra?
Sonuçlar ve raporlar (KVKK, GDPR, BDDK, TSE, PCI DSS ISO 27001 standartlarına uygun pentest raporu) size sunulduktan sonra açıkları bir an önce kapatarak bir sonraki sızma testi / penetrasyon testi zayıf ve güvensiz yerleri tanımlamak ve güvenliği artırmak için yeni zamanlama yapılmalıdır. Bu zamanlama ile doğrulama testi gerçekleştirilmiş olur.

Neden Secromix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri / penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel ücretsiz Siber Güvenlik Farkındalık Analizi,  Sızma Testi / Pentest / Penetrasyon testi, SIEM, DLP, Bilgi Güvenliği Danışmanlığı, Siber Güvenlik kapsamında fiyat teklifi ve referanslarımız için lütfen iletişime geçiniz.

https://mobirise.com easy web builder