Teknoloji Mimarı olarak uzman ve sertifikalı ekibimiz ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir. Penatrasyon ve sızma testi kapsamında Dışarıdan Güvenlik Kontrolü ,Sunucuların Güvenlik Kontrollerinin Yapılması,Network te Geçen Paketlerin İzlenmesi, Kablolu ve Kablosuz Ağ Güvenlik Açıklarının Kontrolü
Network Cihazlarının Konfigürasyon Kontrolü, Erişim Denetimi ve Web Sayfası Güvenlik Açıklarının Denetimi hizmetleri sunulmaktadır.
Farklılıklarımız
– Zayıf noktaların test edilerek ortaya çıkarılması
– Alanında lider lisanslı test araçları
– DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
– Manuel olarak gerçekleştirilen reel time testler
– Kurum için hazırlanan özel raporlar
– Yetkinliği kanıtlanmış CISSP, TSE, OSCP, GPEN, CEH, MVP, GXPEN sertifikalı test ekibi
– Yüksek pentest tecrübesi
Penetrasyon Testi Nedir?
Firmaların bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan siber saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir.
İşlemler sırasında sızma testi uzmanlarımız, tıpkı bir hacker gibi hareket eder ve çeşitli sistemlerin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Bu güvenlik testlerinde, çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir. Kısaca pentest de denilmektedir.
Penetrasyon Testlerinin Amaçları:
– Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek
– Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak
– Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak
– Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek
– Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
– Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
– Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
– Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak
– Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek
Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.
Penetrasyon Testi Metodolojisi
Penetrasyon testini bir standarda kavuşturmak için 2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) standardında sızma testleri 7 ana aşama olarak belirlenmiştir:
–Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak yöntem ve araçların açıklanması; kapsam, testin ne kadar sürede tamamlanacağı, nelerin test edileceği ve kapsamda belirtilmeyen şeyler için ek desteğin verilmesi
–Bilgi toplama (Intelligence Gathering): Testi yapılacak kurumun hakkında stratejik bir atak planı oluşturmak adına kurumun girdi noktaları hakkında bilgi toplanması
–Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımlanıp kategorizasyonu ile tehditler ve tehdit topluluklarının tanımlanıp kategorizaston işlemlerinin yardımıyla kurumun varlıklarını ve bunun karşısında saldırganları merkeze alan bir tehdit modellemesi oluşturulması
–Zafiyet Analizi (Vulnerability Analysis): Saldırganların istismar etmesine neden olacak sistem ve uygulama zafiyetlerini ortaya çıkarmak
–İstismar (Exploitation): Güvenlik kısıtlamalarını atlatarak sisteme ve kaynaklara erişim sağlayarak kurumun ana giriş noktasını bulmak ve yüksek değerli varlıkları saptamak
–İstismar sonrası (Post Exploitation): Ele geçirilen makinenin barındırdığı bilgilerin değerinin belirlenmesi ve makinenin ağdaki diğer hedeflerde kullanılması için kontrolünün sürdürülmesi
–Raporlama (Reporting): Raporda testle ilgili tüm teknik detaylara ve test yapılması için üzerinde anlaşılan varlıklar ve bileşenlere yer verilmesi gerekmektedir. Kapsam, bilgiler, saldırı tekniği, kullanılan yöntemler, etki ve risk derecesi ile iyileştirme önerilerini içermelidir.
Pentest – Sızma Testi Türleri
BlackBox Pentest (Siyah Kutu Penetrasyon Testi); Siyah kutu penetrasyon testi saldırı yapılacak network hakkında hiçbir bilgi sahibi olmadan yapılan saldırı türüdür. Hiçbir bilgi sahibi olmadan dışarıdan network e ulaşmaya çalışan saldırganın verebileceği zararın boyutlarının algılanması sağlanır.
WhiteBox Pentest (Beyaz Kutu Penetrasyon Testi); Beyaz kutu penetrasyon testi network teki tüm sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür. Çalışanlardan birinin dışarıdan ya da içerden network e girmeye ve zarar vermeye çalışmasının saldırı simülasyonu’dur.
GreyBox Pentest (Gri Kutu Penetrasyon Testi); Gri kutu penetrasyon testi iç network de bulunan yetkisiz bir kullanıcının sistemlere verebileceği zararın analiz edilmesini sağlar. Veri çalınması, yetki yükseltme ve network paket kaydedicilerine karşı network zayıflıkları denetlenir. Genelde kurumlara gelen zararın % 60 oranında çalışanlarından geldiği düşünülür ise en önemli sızma testi türüdür.
Penetrasyon Testi Hizmetlerimiz
- Sistem/Ağ Sızma Testi
- Fiziksel Sızma Testi
- Web Uygulama/Sunucu Sızma Testi
- E-Posta Sunucusu Güvenlik Testi
- Mobil Uygulama Sızma Testi
- DoS & DDoS Testi
- Sosyal Mühendislik ve APT Testi
- SCADA/EKS Zafiyet Analizi ve Sızma Testi