GERÇEK ANLAMDA SIZMA TESTİ
Sızma Testleri
Penetration Tests - Pentest
Sızma testi, bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, siber güvenlik uzmanları tarafından gerçekleştirilen yasal güvenlik testleridir. Bilgi Güvenliğinde çok önemli bir alan olan Penetration Test kapsamında asıl amaç, zafiyetleri ayrı ayrı tespit edip raporlamaktan öte, zafiyeti sisteme zarar vermeyecek şekilde kullanmak ve yetkili erişimler elde etmektir. Sızma testi ile kurumlar, yaptıkları bilgi güvenliği yatırımlarının ne denli doğru veya eksik olduğunu da görebilmektedirler.
Pentest çalışmaları, proaktif güvenlik olarak uygulanan offensive security çalışmaları kapsamında yapılmaktadır. Sızma testleri web uygulama güvenliği, yerel ağ güvenliği, mobil uygulama güvenliği, kaynak kod analizi, bulut sistemler, ddos saldırılarına karşı pentest, kablosuz ağ pentest ve voip pentest gibi alt dallara ayrılır.
Sızma Testini Zafiyet Analizinden Ayıran Farklar
Sızma testleri, müşteri tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmaya çalışma işlemlerinin tamamına verilen addır. Yani pentest, tüm bilişim sistemlerinizi bir hacker gözüyle inceleyerek, ulaşılabilecek en yetkili seviyeye sisteminize zarar vermeden erişmek ve bu aşamada karşılaşılan zafiyet ve eksiklikleri çözüm önerileriyle profesyonel olarak raporlamaktır. Sızma testlerinde amaç, güvenlik açıklığını bulmaktan öte bulunan açıklığının değerlendirip sistemlere yetkili erişimler elde elde edilebilmesidir. Çoğu firma veya kurum bilgi ve tecrübe eksikliği gibi nedenlerden dolayı sızma testi yaptırırken testin kapsamını dar tutmakta ve sadece önemli görülen bazı kritik sunucuları teste tabi tutmaktadır. Fakat siber saldırganlar, hedefleri ile ilgili önemli veya önemsiz olarak değerlendirme yapmazlar, kurum için önemsiz gibi görülen bir sunucuyu sisteme erişmek için basamak olarak kullanabilirler.
Whitebox, blackbox, graybox olmak üzere dünya genelinde kabul görmüş üç çeşit sızma testi vardır.
Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen fakat ayrı kavramlardır. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının çeşitli yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç sadece güvenlik açıklıklarını belirlemek değil, aynı zamanda bu zafiyetleri kullanarak hedef sistemlere sızma, yetki arttırabilecek farklı sunuculara geçiş yapma, veri tabanlarına erişim elde etme gibi networkün güvenliğini tehlikeye atacak yol ve yöntemleri keşfetmektir.
Blackbox Penetration Test
Siyah kutu testleri bilişim sisteminizi tam anlamıyla dışarıdan bir hacker gözüyle incelemektir. Her bir bulunan zafiyet değerlendirilerek en üst seviyedeki kullanıcıya erişilmek amaçlanır.
Graybox Penetration Test
Gri kutu testlerinde kurumunuzun bilişim sistemlerine veya uygulamalarına ait kısmi bazı erişim bilgileri elde edildikten sonra testlere başlanır. Amaç en temel kullanıcı seviyesinden, daha üst seviyelere erişimin sağlanıp sağlanmadığını kontrol etmektir.
Whitebox Penetration Test
Beyaz kutu penetrasyon testlerinde uzmanlarımız kaynak kod üzerinde analizler gerçekleştirir, kodlama yapısı ve bileşenleri keşfedildikten sonra sanal ortamda testler gerçekleştirilir. Kod yapısı üzerinde belirlenen muhtemel zafiyetler değerlendirilmeye ve sonuçları görülmeye çalışılır.
Sistemlerinizin Sürekliliği İçin Sızma Testini Düzenli Olarak Mutlaka Yaptırın
Bilgi güvenliği alanında yaptığınız yatırımların ne ölçüde başarılı olduğunu veya ne derecede doğru yapılandırıldığını görmeniz açısından sızma testleri hayati önem taşımaktadır. Bu konuda TRYSEC, dilerseniz şirketinizi dışarıdan bir göz olarak inceliyor, güvenlik zafiyetlerini tespit ediyor, değerlendiriyor ve erişilebilecek en yetkili seviyeye ulaşmak için testler gerçekleştiriyor; dilerseniz de kaynak kod analizi yaparak yazılımınızın güvenlik açıklarını raporluyor.
TRYSEC bilgi güvenliği uzmanları sadece Türkiye ‘de değil dünyanın farklı yerlerinde bilgi güvenliği alanında başarılı çalışmalar yapmış yetkin bir kadrodur.
Bilgi güvenliği uzmanlarımız yalnızca standart bilişim sistemlerinde değil, kritik alt yapı sistemlerinde kullanılan PLC ve SCADA gibi sistemlerinin çalıştığı sunucuların güvenlik testlerinde de tecrübelidir.
Uzman kadromuzla kurumunuzun baştan sona tüm bilişim sistemini denetimden geçiriyor ve tespit edilen güvenlik açıklarına alınabilecek önlemler konusunda siz değerli müşterilerimize çözümler sunuyoruz.
Neden TRYSEC ?
Güven
Bizim için güven en önemli önceliktir. Sızma testlerini gerçekleştirdiğimiz firmalar ile gizlilik sözleşmesi imzalarız ve iş kapsamında elde edilen bilgiler kesinlikle üçüncü bir taraf ile paylaşılmaz.
Uluslararası Standartlar
Trysec Penetrasyon Testi Hizmeti, uluslararası sızma testleri standartları ile tamamen uyumludur. Aynı zamanda uluslararası IAF kuruluşu tarafından akredite bir kurumdan alınmış ISO27001:2017 sertifikamızın gerekliliklerini de süreçlerimizde uygularız.
Tecrübe
Testlerimiz genelde, 10 kişilik teknik bir ekip ile ve yönetici olarak 10 yıldan fazla tecrübesi olan kıdemli proje yöneticileri kontrolünde yapılmaktadır.
Manüel Tarama ve Doğrulama
Sızma testlerinde sadece otomatik araçlardan yararlanılmaz. Uzmanlarımız tarafından manüel testler ve doğrulamalar da yapılır.
Sertifikasyon
Şirketimiz TSE 13638 A Sınıfı Onaylı Sızma Testi firmasıdır. Aynı zamanda ekibimiz uluslararası geçerliliğe sahip CEH, OSCP, OSCE, OSWE, OSWP, eWPTx, LPT ve bunların yanında TSE Kıdemli Sızma Testi Uzmanı gibi sertifikalara sahiptir.
Gerçek Anlamda Uzman
Ekibimizde, Google, Microsoft, Facebook gibi uluslararası büyük şirketler üzerinde kritik zafiyetler keşfetmiş ve bu firmalardan ödül ve teşekkürler almış isimler bulunmaktadır.
Sızma Testi Metodolojisi
Sızma testlerini gerçekleştiren uzmanlar genellikle önceden hazırlanmış olan metodolojileri kullanır ve bu metodolojileri tecrübeleri ile harmanlayarak geliştirir. Metodoloji kullanımı sızma test ekipleri için oldukça önemlidir çünkü sızma testlerinde daha önce denenmiş ve standart haline getirilmiş kurallar uygulandığında başarılı olma ihtimali ve pentest projesinin sağlıklı ve kabul edilirlik oranı oldukça yüksek olmaktadır.
- OWASP
- ISSAF
- PCIDSS
- OSSTMM
Trysec tarafından yapılan sızma testlerinde, yukarıda sayılan tüm sızma testi standartları benimsenmektedir. Farklı bir göz açısından bakarak sistemlerinizi güvenlik testine tabi tutmak için TRYSEC ekibi doğru bir tercihtir.
Penetrasyon Testi Çeşitleri ve Siber Güvenlik Hizmetleri
Yerel Ağ (Network) Pentest Hizmeti
Kurumunuzun yerel ağı üzerinden gerçekleştirilir. Yerel ağda bağlı herhangi bir istemcinin güvenlik açısından ne riskler getirebileceğini gösterme amaçlı olarak gerçekleştirilmektedir. Uzmanlarımız yerel ağınız üzerinde yapmış oldukları testlerle güvenlik açıklarınızı ve network envanterinizde bulunan konfigürasyon hataları ve güncelleme eksiklikleri gibi bir çok bulguyu keşfederek daha güvenli bir network için çalışmalar yapar.
İnternet Üzerinden Pentest Hizmeti
Kurumun internete açık varlıkları üzerinden testlerinin yapılması, kurumun dışa açık web sunucuları, DNS sunucuları, Eposta sunucuları, ip telefonları, vb. kapsam olarak belirtilen tüm dışa açık bilişim sistemlerine ait sızma testlerinin yapılması ve raporlama hizmetini içermektedir.
Kablosuz Ağ (Wireless) Pentest Hizmeti
Kurumun kablosuz sistemlerinin altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara veya art niyetli kişilerin girişimlerine karşı sızma testlerinin yapılması ve raporlama hizmetini içermektedir. Kablosuz ağlarınızda bulunan açıklıklar ve hatalı yapılandırmalar ile birlikte diğer zafiyetler tespit edilerek raporlaştırılır.
Web Uygulama (Web Application) Pentest Hizmeti
Firmanın internete açık olan servisleri üzerinden web uygulamaları güvenliği adına pentest çalışmaları yapılır. İnternete açık olan http servisi üzerinde çalışan web uygulamalarının yanı sıra, mail, dns sunucuları, ftp vb. servisler üzerinden web güvenliği adına sızma denemeleri gerçekleştirilir. Yapılan Web Uygulama Güvenlik testlerinde kurumunuzun internete açık olan tüm kaynakları incelenerek ve profesyonel ekibimizin tecrübeleri ile uluslararası metodolojiler kullanılarak testlerimiz gerçekleştirilir. Gerektiğinde otomatize araçlar, gerektiğinde ise manüel testler gerçekleştirilerek uygulamalarınızın güvenliği hakkında kapsamlı bir rapor sunuyoruz.
Kaynak Kod Analizi Hizmeti
Kurumunuzun yazılımlarının kaynak kod analizi yapılarak sahip web ve masaüstü uygulamalarınızın güvenlik testleri gerçekleştirilmektedir. Uygulamalarınızda bulunan zafiyetler tespit edilerek gelişmiş siber saldırılara karşı önlem almanız sağlanır. Simülasyon ortamında yapılan denemeler ile masa üstü ve web uygulamalarınızın güvenli yazılım geliştirme standartlarına uyumu için çalışmalar yapılır.
Mobil Pentest Hizmeti
Gerek Android gerekse iOS işletim sistemi için geliştirilmiş mobil uygulamalara yönelik statik ve dinamik güvenlik kontrolleri simülasyon ortamınde uygulamanın türüne göre gerçekleştirilmektedir. Uygulamanın kaynak kodları incelenip daha sağlıklı bir mobil uygulama geliştirmeniz için yardımcı oluyoruz.
Cloud Pentest Hizmeti
Sahip olduğunuz Cloud (bulut) sunucularında bulunması muhtemel zafiyetler için yapılan penetrasyon testidir. Bu testlerde sunucularınız üzerindeki yapılandırma hatalarını keşfetmek ve alınan güvenlik cihazlarını bypass etmek gibi farklı yöntemler denenir.
DDoS Test Hizmeti
Kuruma ait olan bilişim sistemleri servis dışı bırakma saldırıları (DOS/DDOS) ile test edilmektedir. DDoS testlerinin üst sınırı genellikle 25 Gbps ‘e kadar ulaşmaktadır.
Voip Sistemleri Pentest Hizmeti
Kullanılan SIP sunucuları ve VOIP sistemi üzerinden yapılacak aldatma yöntemleri, yönlendirme ve dinleme işlemleri gibi birçok zafiyetlerin test edilmesi amaçlanır. Voice Over Ip sistemlerinizde tespit edilen tüm güvenlik açıkları raporlanır ve açıklıkların kapatılması için çözüm raporları sunulmaktadır.
Son Kullanıcı Güvenlik Testleri / Sosyal Mühendislik Testleri
Kurum çalışanlarınıza ait iletişim bilgileri, halka açık platformlar üzerinden elde edilerek sosyal mühendislik saldırıları gerçekleştirilir. Bu testlerde amaç çalışanlarınızın bilgi güvenliği farkındalığı edinmesini sağlamaktır.
PLC/SCADA Sistemleri Pentest Hizmeti
Kurumunuzun elektrik, su, nükleer santral vb. üretim tesislerinde bulunan PLC/SCADA sistemlerinin bulunduğu networke özel, iç ağ üzerinden ve internet üzerinden gerçekleştirdiğimiz sızma testleridir.
Kripto Para Sistemleri Pentest Hizmeti
Kripto para borsasına yönelik ve kripto sistemler barındıran sunucu ve uygulamalarınızın güvenlik testlerini alanında uzman çalışanlarımız ile gerçekleştiriyoruz. Gerek web uygulamalarına yönelik güvenlik açıklarını, gerekse sistemsel zafiyetler ile birlikte logical hataları tespit etmeye yönelik detaylı pentest hizmeti veriyoruz.