Sızma Testi Penetrasyon Test Hizmeti

Kurumlara Özel Siber Güvenlik Danışmanlık Çözümleri ve Bilgi Güvenliği Eğitimleri

Sızma Testi Pentest Hizmeti

Sızma testleri, penetrasyon testi olarak bilinen IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve siber güvenlik tehditlerini önceden tespit etmek için kullanılan bir danışmanlık hizmetidir. Sızma testi ile IT varlıklarının iletişimleri, bağlantıları ve bu varlıklar üzerindeki uygulamalar test edilerek, açıklıkların ortaya çıkartılması hedeflenir.

Sızma testleri her bir varlık türüne göre önceden belirlenen senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek olan sızma testinin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihazları ve ürünlerini atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilir.

Penetrasyon Test Hizmeti Hakkında

Pentest hizmeti olarak da bilinen sızma testleri, bilişim sistemlerindeki hataların ve zafiyetlerin ortaya çıkartılarak, söz konusu güvenlik açıklıklarının kötü niyetli siber saldırganlar tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacı ile, alanında uzman ve yetkili kişiler tarafından gerçekleştirilen siber güvenlik danışmanlık hizmetidir. Yapılan bu sızma testlerindeki amaç, zafiyetleri tespit etmekle beraber bu zafiyetler kullanılarak ilgili sistemde yetkili erişimlerin nasıl elde edilebileceğini ve nelerle sonuçlanabileceğini göstermektir.

Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan üç ana yöntem kullanılarak testler uygulanır.

Sızma Testi Penetrasyon Test Hizmeti

Fiyat Teklifi

    Sızma Testi Pentest Hizmetinde Uygulanan Yaklaşımlar

    Siyah Kutu (Black Box): Sızma testi yapılacak sistemlerle ilgili herhangi bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir.

    Gri Kutu (Gray Box): Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi birçok bilgi güvenlik testi yapacak ekibe önceden sağlanır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.

    Beyaz Kutu (White Box): Güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır.

    Kurumunuza Özel Sızma Testi Hizmeti

    Sızma (Penetrasyon) Testi Metodolojisi

    Privia Security tarafından periyodik olarak gerçekleştirilecek sızma testleri sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir.

    Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir.

    Sızma Testi Evreleri

    Zafiyet Seviyelendirmesi; Sızma testi esnasında tespit edilen zafiyetler, sistemin güvenliğini tehdit ediş boyutları göz önünde bulundurularak seviyelendirilir.

    Bilgi Toplama Evresi; Bilgi toplama, kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir.

    Pasif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilmeden, hedef sistemler hakkında arama motorları vasıtasıyla bilgi toplanan evredir.

    Aktif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilerek, hedef sistemler hakkında bilgi toplanan evredir.

    Port Tarama; Bilgi Toplama Evresi’nin ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır.

    Zafiyet Tarama; Hedef sisteme ait bilgi toplama ve port tarama, servis tespitinin ardından, elde edilen bilgiler değerlendirilerek zafiyet taraması gerçekleştirilir.

    Enumeration; Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler öğrenilir.

    Exploitation Evresi; Zafiyet Tarama ve Enumeration evlerinin ardından tespit edilen zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir.

    Hak ve Yetki Yükseltme Evresi; Erişim kazanmak bir sızma testinin odak noktasını oluşturur. Tespit edilen zafiyetler istismar edilerek, hedef sistem üzerinde erişim elde edilmeye çalışılır.

    Post Exploitation Evresi; İstismar sonrası safhasının amacı ele geçirilen sistemin değerinin belirlenmesi ve sistemin daha sonra kullanmak üzere denetiminin sürdürülmesidir.

    Yapılan İşlemleri Geriye Alma Evresi; Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir.

    Raporlama Evresi; Müşteri tarafından yazılı olarak istenmesi durumunda raporun matbu hali, üzerine “Gizli” ibaresi vurulmuş kapalı bir zarf içerisinde teslim edilir.

    Sunum; Raporların tesliminden sonra istenmesi halinde kurum personeline, gerçekleştirilen sızma testine ilişkin özet mahiyetinde bir sunum yapılır. Bu sayede kurum personeli, sızma testini gerçekleştiren uzmanlarımızla test ile ilgili görüş alışverişinde bulunabilme imkânı kazanırlar.

    Sızma Testi Doğrulama Denetimi, Raporu ve Kapanış

    Sızma testi raporunun teslimi ve sunumunun gerçekleştirilmesinin ardından Privia test ekibiyle Müşteri güvenlik ekibinin karşılıklı mutabık kalacakları bir tarihte, test ekibi tarafından tespit edilen zafiyetlerin Müşteri tarafından giderilip giderilmediği kontrol etmek adına bir doğrulama denetimi gerçekleştirilir. Doğrulama denetimi sonucunda yeniden ayrı bir rapor düzenlenmez, zafiyetlerin kapatılıp kapatılmadığına ilişkin bir excel hazırlanarak, kurum ile paylaşılır.

    Sunmuş olduğumuz hizmetlerde değerli müşterilerimiz ile aramızda NDA anlaşması imzalayarak gizlilik ve veri güvenliği konusunda da ulusal ve uluslararası metodları kullandığımızı da hatırlatmak isteriz. Penetrasyon testi fiyatları seçilecek olan test yönetimi ve varlıklara göre belirlenir.

    Kurumunuza özel sızma testi (pentest hizmeti) fiyat teklifi için bizimle iletişime geçebilir ve uzmanlarımızdan detaylı bilgi alabilirsiniz.