Siber Güvenlik Danışmanlığı

Siber güvenlik alanında uzman kadromuzla kurumlara özel danışmanlık hizmetleri sunuyoruz.

Sızma Testi Penetrasyon Test Hizmeti

    FİYAT TEKLİFİ

    Sızma Testi (Penetrasyon Test) Hizmeti

    Sızma testleri, penetrasyon testi olarak bilinen IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve siber güvenlik tehditlerini önceden tespit etmek için kullanılan bir siber güvenlik hizmetidir. Sızma testi ile IT varlıklarının iletişimleri, bağlantıları ve bu varlıklar üzerindeki uygulamalar test edilerek, açıklıkların ortaya çıkartılması hedeflenir. Sızma testleri her bir varlık türüne göre önceden belirlenen senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek olan sızma testinin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihazları ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilir.

    Pentest hizmeti olarak da bilinen sızma testleri, bilişim sistemlerindeki hataların ve zafiyetlerin ortaya çıkartılarak, söz konusu güvenlik açıklıklarının kötü niyetli siber saldırganlar tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacı ile, alanında uzman ve yetkili kişiler tarafından gerçekleştirilen siber güvenlik danışmanlık hizmetidir. Yapılan bu sızma testlerindeki amaç, zafiyetleri tespit etmekle beraber bu zafiyetler kullanılarak ilgili sistemde yetkili erişimlerin nasıl elde edilebileceğini ve nelerle sonuçlanabileceğini göstermektir.

    Sızma Testi Pentest Hizmetinde Uygulanan Yaklaşımlar

    Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan üç ana yöntem kullanılarak testler uygulanır.

    Ulusal Metadolojik Yaklaşımlar

    • TSE (TS-13638)
    • Sivil Havacılık Tarafından Yayınlanan SOME Rehberi
    • Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi

    Uluslararası Metadolojik Yaklaşımlar

    • NIST 800-115
    • OSSTMM (Open Source Security Testing Methodology Manual)
    • ISSAF (Information Systems Security Assessment Framework)
    • OWASP Testing Guide
    • SCADA Methodology

    Siyah Kutu (Black Box): Sızma testi yapılacak sistemlerle ilgili herhangi bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir.

    Gri Kutu (Gray Box): Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi birçok bilgi güvenlik testi yapacak ekibe önceden sağlanır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.

    Beyaz Kutu (White Box): Güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır.

    Sızma (Penetrasyon) Testi Metadolojisi

    Sızma Testi Pentest HizmetiPrivia tarafından periyodik olarak gerçekleştirilecek sızma testleri sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir.

    Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir.

    Sızma Testlerinin Gerçekleştirilmesi

    Sızma testi, daha önce Müşteri ile yapılan “Sızma Testi Başlangıç Toplantısı”nda belirlenen senaryo dahilinde gerçekleştirilir. IT varlıklarına yönelik sızma testi aşağıdaki tüm başlıkları kapsayacak şekilde ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilir.

    • Web Uygulamaları Sızma Testleri
    • Etki Alanı Sızma Testleri
    • İstemci Taraflı Sızma Testleri
    • Veritabanı Sızma Testleri
    • Network Sızma Testleri
    • E-Posta – DNS Servisleri Sızma Testleri
    • Kablosuz Ağ Sızma Testleri
    • Servis Engelleme (DDoS) Testleri
    • Sosyal Mühendislik ve Hedef Odaklı (APT) Sızma Testleri
    • Güvenlik Duvarı Atlatma Testleri
    • URL, İçerik Filtreleme ve Spam Gateway Ürünleri Atlatma Testleri
    • Sanallaştırma Sistemleri Sızma Testleri
    • Cloud Sistemlere Yönelik Sızma Testleri
    • Bilgi Toplama (Footprinting)
    • Port Tarama – Servis Tespiti
    • Zafiyet Tarama (Zafiyet Tespiti)
    • Enumeration
    • Exploitation (Sızma)
    • Hak ve Yetki Yükseltme (Privilege Escalation)
    • Post Exploitation (Sızıntı Sonrası)
    • Yapılan İşlemleri Geriye Alma
    • Raporlama

    Sızma Testi Evreleri

    Zafiyet Seviyelendirmesi; Sızma testi esnasında tespit edilen zafiyetler, sistemin güvenliğini tehdit ediş boyutları göz önünde bulundurularak seviyelendirilir.

    Bilgi Toplama Evresi; Bilgi toplama, kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir.

    Pasif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilmeden, hedef sistemler hakkında arama motorları vasıtasıyla bilgi toplanan evredir.

    Aktif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilerek, hedef sistemler hakkında bilgi toplanan evredir.

    Port Tarama; Bilgi Toplama Evresi’nin ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır.

    Zafiyet Tarama; Hedef sisteme ait bilgi toplama ve port tarama, servis tespitinin ardından, elde edilen bilgiler değerlendirilerek zafiyet taraması gerçekleştirilir.

    Enumeration; Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler öğrenilir.

    Exploitation Evresi; Zafiyet Tarama ve Enumeration evlerinin ardından tespit edilen zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir.

    Hak ve Yetki Yükseltme Evresi; Erişim kazanmak bir sızma testinin odak noktasını oluşturur. Tespit edilen zafiyetler istismar edilerek, hedef sistem üzerinde erişim elde edilmeye çalışılır.

    Post Exploitation Evresi; İstismar sonrası safhasının amacı ele geçirilen sistemin değerinin belirlenmesi ve sistemin daha sonra kullanmak üzere denetiminin sürdürülmesidir.

    Yapılan İşlemleri Geriye Alma Evresi; Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir.

    Raporlama Evresi; Müşteri tarafından yazılı olarak istenmesi durumunda raporun matbu hali, üzerine “Gizli” ibaresi vurulmuş kapalı bir zarf içerisinde teslim edilir.

    Sunum; Raporların tesliminden sonra istenmesi halinde kurum personeline, gerçekleştirilen sızma testine ilişkin özet mahiyetinde bir sunum yapılır. Bu sayede kurum personeli, sızma testini gerçekleştiren uzmanlarımızla test ile ilgili görüş alışverişinde bulunabilme imkânı kazanırlar.

    Sızma Testi Doğrulama Denetimi ve Kapanış

    Sızma Testi raporunun teslimi ve sunumunun gerçekleştirilmesinin ardından Privia test ekibiyle Müşteri güvenlik ekibinin karşılıklı mutabık kalacakları bir tarihte, test ekibi tarafından tespit edilen zafiyetlerin Müşteri tarafından giderilip giderilmediği kontrol etmek adına bir doğrulama denetimi gerçekleştirilir. Doğrulama denetimi sonucunda yeniden ayrı bir rapor düzenlenmez, zafiyetlerin kapatılıp kapatılmadığına ilişkin bir excel hazırlanarak, kurum ile paylaşılır.

    Kurumunuza özel sızma testleri fiyat teklifi için bizimle iletişime geçebilir ve uzmanlarımızdan bilgi alabilirsiniz. Sunmuş olduğumuz hizmetlerde değerli müşterilerimiz ile aramızda NDA anlaşması imzalayarak gizlilik ve veri güvenliği konusunda da ulusal ve uluslararası metodları kullandığımızı da hatırlatmak isteriz.

     

    Hizmetimiz ile ilgili detaylı bilgi almak ve satış ekibimizin sizinle iletişime geçmesi için formu doldurunuz.