Sızma Testleri (Penetrasyon Testleri)

İnternet Dünyasında sistemlere erişim sağlamak isteyen kötü amaçlı hackerların, profesyonel anlamda hizmet sağlayan kişilere göre çok daha fazla zamanı vardır. Bu zamanla birlikte kaybedecekleri çok şey olmamasından dolayı motivasyonları da bir hayli yüksektir.

Sisteminizdeki güvenlik zafiyetlerinizin personeliniz dışında, 3. Kişiler tarafından incelenerek tespit edilip, hızlı şekilde raporlanması gerekmektedir. Bu güvenliğin ilk adımlarından birini oluşturmaktadır.

Siber güvenlik Defensive ve Offensive olarak iki grupta incelenir. Savunmaya yönelik gayreti anlatan terim Defensive, sisteme erişim için yapılan çalışma ise Offensive olarak incelenmelidir. Pentest çalışmaları Offensive atakların önlenmesi amacıyla ortaya çıkmıştır.

Pentest ( Sızma ) Testleri, sistemdeki güvenlik açığının tespiti amacıyla, müşterilerin talepleri doğrultusunda kapsamlı bir araştırma yapılmasına verilen addır.

Pentest ( Sızma ) testlerindeki amaç, tek başına güvenlik açığını bulmanın ötesinde, bu açıklar üzerinden sisteme erişim sağlamayı amaçlayarak, bu açıklıkların fixlenmesi amacıyla yapılmaktadır.

Whitebox, blackbox, graybox olmak üzere 3 çeşit sızma testi vardır.

Pentest ( Sızma ) testl ve güvenlik açığı taramak birbirine benzeyen kavramlar olsa da, tam anlamıyla aynı şeyler değildir. Güvenlik açığı taramak, çeşitli birçok yazılımla sistemlerine taranarak sistemde olan veya olması muhtemelen güvenlik açıklığının belirlenmesidir. Sızma testi ise bulunan bu açıklıklara sızmak maksadıyla çeşitli yöntemlerle erişim sağlamaktır. Zira bazı sistemlere özgün işlemler yapılmak suretiyle farklı yollarla erişim sağlanabilmektedir.

post01

Pentest ( Sızma ) Metodolojisi

Sızma testlerini gerçekleştiren kişilerin yapmış oldukları sızma testlerinin doğrulanabilir, yorumlanabilir ve tekraren sisteme erişim sağlanabilir olması gerekmektedir.

Metodolojinin kullanılması pentest ( sızma ) testini yapan kişilerce çok önemlidir. Zira sızma testlerinde daha önce standart bir şekilde denenmiş güvenlik açıklarının tek başına başarı sağladığı söylenemez, uzmanların ayrıca analitik bir düşünce biçimi ile özgün teknikler denemesi de önemlidir.

İnternetten ücret vermeksizin tedarik edilen bazı güvenlik açıkları üzerinden güvenlik testleri yapılması tek başına sağlıklı olmamaktadır. Bunun yanı sıra Zer0Day güvenlik açıklıkları ile de sistemlere sızma gerçekleştirilebilmektedir. Bu nedenle internet dünyası takip edilerek, Zer0Day güvenlik açıklarının elde edilerek müşterilerin tekraren check edilmesi hayati önem taşımaktadır.

> OWASP   > OSSTMM  > ISSAF  > NIST SP800-155

İTSecurity Bilgi Güvenliği firmamız tarafınca gerçekleştirilen testlerde neredeyse 500 ‘ün üzerinde farklı güvenlik zaafiyeti üzerinde inceleme yapılmaktadır.

Penetrasyon (Sızma) Test Çeşitleri

  • Web Application Pentest ( Sızma ) Testleri
  • Network Pentest ( Sızma ) Testleri
  • Mobil Pentest ( Sızma ) Testleri
  • Cloud “ Bulut “ Pentest ( Sızma ) Testleri
  • Kod İncelemesi ( Sızma ) Testleri
  • DDoS Pentest ( Sızma ) Testleri
  • Wireless Kablosuz Ağ Pentest ( Sızma ) Testleri
  • Voip Pentest ( Sızma ) Testleri

Neden ITSecurity Sızma Testleri

  • ITSecurity Ulusal ve Uluslararası alanda yapmış olduğu sızma testleriyle önemli bir müşteri portföyüne sahiptir.
  • Sızma testi uzmanlarımız ulusal ve uluslararası geçerliliğe sahip birçok sertifikaya sahiptir.
  • Sızma testi uygulamaları 15 yıla kadar bu alanda hizmet sağlamış uzmanlarımız tarafından gerçekleştirilmektedir.
  • Sızma testleriyle alakalı deneyimlerimizi İTSecurity.com.tr bloğumuzdan sizlerle de paylaşarak, sisteme yeni insanları entegre etmeye çalışacağız.
  • ITSecurity sadece kendi kadrosuyla değil, ulusal ve uluslararası alanda isim yapmış birçok uzmanla sözleşme dahilinde yüksek güvenlik kapsamında çalışabilmektedir. Bu sayede çok ciddi şekilde sistemlerinizin incelendiğinden emin olacaksınız.

Örnek Raporlar

Yapmış olduğumuz sızma testlerine ait raporlar gizlilik ön planda tutularak raporlar hazırlanmakta ve açıklığı olan sistemlerdeki güvenlik zafiyetleri gruplandırılarak tarafınıza iletilmekte ve bu zafiyetlerin incelemesi ayrıca yapılarak yanlış olabilecek başlıkların çıkarılmaktadır. Örnek bir sızma testi raporumuz:

  • Sızma testi raporu.
  • Ağ güvenliğine ait uygulamalı çalışmalar.
  • İleri düzey ağ güvenliği yol haritası.
  • Zararlı yazılımlara ait analiz yöntemleri.
  • Mobil / web güvenlik açıklıkları testi.
  • Güvenlik zaafiyeti kontrol listesi.

Referanslar

ITSecurity yılların vermiş olduğu tecrübe ile birçok firmayla zafiyet testi gerçekleştirmiştir. Hizmet verdiğimiz müşterilerimiz arasında Türkiye ‘de önemli ve otorite kurumlar da bulunmaktdır. Enerji, Eğitim, Hava Yolları, Demir Yolları gibi sektörlerde bulunan sayısız firma bulunmaktadır. Hizmet verdiğimiz firmalar ( NDA ) kapsamında korunmaktadır.

Ekip Yetkinlikleri

ITSecurity bünyesinde ve dışarıdan hizmet alınan çalışanlarımız ulusal ve uluslararası geçerliliğe sahip birçok belgelendirmeyi sahiptir. Bununla beraber uzmanlarımızın birçoğu kitap yazabilecek seviyede çalışmalar yapmıştır.

Lütfen formu eksiksiz doldurunuz.