Sızma Testi
Bilgi Güvenliği Sızma Testleri Kuruluşların içerden veya dışardan olabilecek saldırı ve izinsiz erişimlere karşı zafiyetlerin tespit edilip raporlanmasıdır. Farkımız testlerimiz konusunda uzman etik hackerlar tarafından gerçek senaryolar çalışılarak yapılmaktadır. Bu sayede iç ve dış açıkların detaylı analizi yapılarak gerçek bir ağ denetimi sağlanmış olur. Test çalışmamız TSE ve BDDK’nın yönetmeliklerine uygundur.
ISO/IEC 27001, ISAE 3402, NIST, PCI DSS, SoX/Cobit, SAS 70 uyumlu raporlama yapılır.
Sızma Testi Nedir ?
Belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak gerçekleştirilen güvenlik testleridir.
Pentest çalışmalarındaki asıl amaç, zafiyeti tespit etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir.
Sızma testleri sayesinde, kurumun web sitesinin devre dışı kalması, kredi kartı ile alışveriş yapan müşterilerin ödeme bilgilerinin çalınması, personele ait özel nitelikli tüm verilerin sızdırılması gibi farklı felaket senaryoları henüz yaşanmadan açıklarınızı tespit edebilir ve gerekli önlemleri alabilirsiniz.
Servis Dışı Bırakma (DOS ve DDOS) Testleri
Pentest hedefe, sektöre, simüle edilecek saldırıya ve sisteme bağlı olarak üçe ayrılır.
İç Ağ (Internal) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.
Dış Ağ (External) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.
Web Uygulama Sızma Testi: Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır ancak odak noktamız web uygulamalarıdır.
Web Uygulama Sızma Testi
Web application pentest olarak da tanımlanan web uygulamaları sızma testleri genel pentest kavramından farklıdır.
Web uygulama sızma testlerimiz, hedef sistemde kullanılan geliştirme dillerinden (PHP, Java, ASP.NET, Ruby gibi) bağımsız olarak gerçekleştirilir.
Günümüz siber saldırıları incelenip analiz edildiğinde, dışarıdan içeriye doğru gerçekleştirilen saldırıların büyük bölümünün web uygulamalarındaki güvenlik açıklıkları kullanılarak gerçekleştirildiğini ortaya çıkarmıştır. Kurumlar birçok yazılım dilini kullanarak web uygulamaları geliştirirler ve genel olarak web uygulaması geliştirme ihtiyaçlarını üçüncü parti firmalar üzerinden sağlarlar.
Sosyal Mühendislik Testleri
Sosyal mühendislik senaryoları her kurum için özel olarak hazırlanmakta olup kurum çalışanlarına ve ihtitiyaçlarına yönelik geliştirilmektedir. Yapılan testler tamamlandığında kurum yöneticileri ile çalışanların zafiyetleri ortaya konularak departman veya kullanıcı bazında raporlama yapılmaktadır.
Sızma testi aşamaları Pen testi süreci beş aşamaya ayrılabilir.
İlk aşama şunları içerir:
Ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere bir testin kapsamını ve hedeflerini tanımlama.
Bir hedefin nasıl çalıştığını ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat toplamak (ör. Ağ ve alan adları, posta sunucusu).
2. Tarama
Bir sonraki adım, hedef uygulamanın çeşitli izinsiz giriş girişimlerine nasıl yanıt vereceğini anlamaktır. Bu genellikle şu şekilde yapılır:
Statik analiz - Çalışırken nasıl davrandığını tahmin etmek için bir uygulamanın kodunu inceleme. Bu araçlar, kodun tamamını tek geçişte tarayabilir.
Dinamik analiz - Çalışır durumda bir uygulamanın kodunu inceleme. Bu, bir uygulamanın performansına gerçek zamanlı bir görünüm sağladığı için daha pratik bir tarama yöntemidir.
3. Erişim Kazanma
Bu aşama, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma , SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırılarını kullanır . Test uzmanları daha sonra, neden olabilecekleri zararı anlamak için genellikle ayrıcalıkları artırarak, verileri çalarak, trafiğe müdahale ederek vb. Bu güvenlik açıklarından yararlanmaya çalışır.
4. Erişimin sürdürülmesi
Bu aşamanın amacı, güvenlik açığının, kötü bir aktörün derinlemesine erişim elde etmesi için yeterince uzun süre, sömürülen sistemde kalıcı bir varlık elde etmek için kullanılıp kullanılamayacağını görmektir. Buradaki fikir, bir kuruluşun en hassas verilerini çalmak için genellikle aylarca sistemde kalan gelişmiş kalıcı tehditleri taklit etmektir.
5. Analiz
Sızma testinin sonuçları daha sonra aşağıdaki ayrıntıları içeren bir rapor halinde derlenir:
Sömürülen belirli güvenlik açıkları
Erişilen hassas veriler
Pen test cihazının sistemde tespit edilmeden kaldığı süre
Bu bilgiler, güvenlik açıklarını yamalamak ve gelecekteki saldırılara karşı korumak için bir kuruluşun (WUGD) ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için güvenlik personeli tarafından analiz edilir.
Sızma Testi Hizmetleri
Hemen Profesyonel Sızma Testi Hizmeti Alın