Penetrasyon Testi
Penetrasyon Testi (kısaca pentest de denir), şirketinizin ya da kurumunuzun bilgi sistemleri ve teknolojilerini oluşturan tüm ağ alt yapılarına, server, donanım, yazılım ve uygulamalara kötü niyetli kişilerin (hackerların) saldırı ve yetkisiz müdahalelerle sızmaya çalışılmasının simule edilmesi yöntemi ile sisteminizdeki bilgilerinizin erişebilirliliğinin, güvenlik açıklarının ve risklerin tespit edilmesi; bu işlemlerin ve yine sisteminizin iyileştirmenize yarayacak çözüm uygulama, yöntem ve önerilerinin kesinlikle gizli ve size özel olarak raporlanmasıdır.
Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Genel kabul görmüş Penetrasyon Testleri, White Box, Black Box, Gray Box olmak üzere üç çeşittir:
White Box (Beyaz Kutu) Penetrasyon Testi
Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır. İç test olarak da bilinen bu testi gerçekleştirecek firma tarafından müşteri networkünün içerisinde belirli bilgilerin sağlanması yoluyla, içeriden yapılacak saldırıları simüle etme amacıyla gerçekleştirilir.
Black Box (Siyah Kutu) Penetrasyon Testi
Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz sadece hedef verilir.. Bilgi sızdırmak yada zarar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak verilebilecek zararlar gözetilir ve raporlanır. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz.
Gray Box (Gri Kutu) Penetrasyon Testi
White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Gray Box’ta ek olarak Sosyal Mühendislik Saldırıları ve Kablosuz Ağ Saldırıları da eklenmektedir.
Penetrasyon testi hizmetimizi konusunda ehil, güvenilir ve işi bilen ortaklarımız aracılığı vermekteyiz.
Proaktif Penetrasyon Testi Hizmet Aşamalarımız
- Aktif / Pasif Bilgi Toplama
- Network Analizi
- Port Analizi
- Sistemlerin Analizi
- Yetkilendirmelerin denetlenmesi
- Sistem Durdurma
- Yetkisiz erişimlerin denetlenmesi
- Risk Değerlendirmesi
- Web Tabanlı Uygulamalara Yönelik Saldırı simülasyonları
- Sunucu ve network sistemlerinin üzerindeki servislerin OWASP, OSSTMM standartlarını da karşılayacak biçimde test edilmesi.
- SSL, PPOP3, HTTP, SMTP, DNS, IMAP, FTP, SSH, TELNET vs. tüm servislerin, yazılımların ve protokollerin analizi ve sızma testlerinin yapılması
- Donanımlardaki konfigürasyon hataları, konfigürasyon eksikliklerinin tespiti.
- Veri tabanlarının web tabanlı saldırı tekniğine ve OWASP, OSSTMM standartlarını da karşılayacak biçimde test edilmesi.
SQL Injection , CSS, CSRF, XSS dahil olmak üzere oturum yanıltma, karakter filtreleme, kimlik doğrulama, parametre değiştirme, cookie vb. gibi pek teknikler kullanılarak internet sitesi üzerinde hem ziyaretçi, hem de admin haklarıyla sızılmaya çalışılması - Farklı kullanıcılarla veri tabanları ve sistemlerle alakalı sunucu ve kullanıcı tarafındaki tüm zayıflıkların kontrolünün yapılması
- Switch, Router, Firewall, Access Point vb. cihazlarının denetiminin yapılması.
- Ayrıntılı Firewall denetimlerinin yapılması.
- Switch, Router, Firewall, Access Point vb. cihazlarının disk alanları, bant genişlikleri, yoğunlukları gibi işleyişini aksatacak durumların denetiminin yapılması.
Rapor Hazırlanması ve Sunumu:
- Teşhiş ve çözüm önerileri şeklinde detaylı raporun hazırlanması
- Raporun şirket Bilgi Teknolojileri personeline yerinde sunulması
- Talep edilirse yönetici özetiyle beraber üst yönetime sunulması
- Raporala ilgili soru, sorunlara destek verilmesi
Kısaca faydalarından bahsedersek :
- Firmanızdaki bilgi güvenliği farkındalığı artar. Üst ve orta kademe yönetim ile çalışanlarınız daha duyarlı hale gelmeye başlar.
- IT altyapınızla ilgili (Tüm donanım ve yazılımlar) açıklıkları bilir, gerekli önlemleri vakit kaybetmeden ve tehditle karşılaşmadan alabilirsiniz.
- Bilişim sistemlerinize yönelik İç ve dış saldırılara karşın daha hazır ve güvenli olursunuz.
- Risklerini daha iyi yönetebilirsiniz. Sistemlerinizin durdurulma veya kaynak yetersizliklerinden yavaşlayabilme gibi riskleri öngörebilir ve gerekli önlemleri önceden alabilirsiniz.
- İş sürekliliğinizi güvence altına alırsınız.
- Olası saldırılara karşı daha dirençli bir Bilgi Teknolojileri altyapısını temin edebilirsiniz.
- Kurumunuzun prestijinin ve marka değerinin korunmasını sağlarsınız.