Sızma Testi Nedir?

Güvenlik yada Sızma Testleri kurumlara ait zafiyetlerin saldırgan bakış açısıyla tespit edilmesi ve sömürülmesi amacıyla gerçekleştirilir. Sızma testlerinin kurumun durumuna göre 3,6,12 ayda bir yaptırılması faydalı olacaktır. Sızma Testlerini gerçekleştirecek personelin yetkinliği Sızma Testi belirleyen en önemli faktörlerden birisidir. Sızma testleri (Pentest) günümüz kurumsal firmalarının güvenlik politikaları içerisinde en temel bileşen haline gelmiştir. Sızma testlerini PCI, SOX, Iso 27001, HIPAA gibi standart ve yönetmelikler pentest çalışmaları dahilinde zorunludur.

business, code, codes

Ağ Sızma Testi

Kuruma ait ağ altyapısının içeriden ve dışarıdan meydana gelebilecek saldırılara karşı güvenlik seviyesinin belirlenmesini sağlar. Klasik bir kurum ağında switch, router, firewall, IPS/IDS, Waf, Loadbalancer vb. ağ sistemleri bulunur. Bunlar günlük operasyonlar sırasında çeşitli saldırılara maruz kalırlar. Yaptımız testler sonucunda ağ cihazlarına ait müstakil bir rapor oluşturulmaktadır.

abstract, ai, art

Sistem Sızma Testi

Kurum içerisinde ve dışarısında özellikle son kullanıcı sistemleri ile kurumsal uygulamaların çalıştığı Windows ve Linux sistemler güvenlik zafiyet barındırabilmektedir. Bu noktada yapılacak Sistem Sızma Testi ile hem ağ içerisindeki hemde ağ dışındaki sistemlerin barındırdıkları zafiyetler tespit edilmekte ve kullanılarak kurumun güvenlik seviyesi test edilmektedir.

Photo of Green Data Matrix

Uygulama Sızma Testi

Kurumlar personelinin ve müşterilerinin kullanımına yönelik uygulamaları iç ve dış sistemlerde kullanmaktadır. Uygulamalar üzerindeki yetkilendirme, iş mantığı, kötüye kullanım, konfigrasyon hatası gibi kategoriler test edilmekte ve her uygulama için ayrı bir test raporu sunulmaktadır.

Kapsam

Sızma Testi için aşağıdaki sistemler kapsama dahil edilir.

  • İletişim Altyapısı ve Aktif Cihazlar
  • DNS Servisleri
  • Etki Alanı ve Kullanıcı Bilgisayarları
  • E-posta Servisleri
  • Veritabanı Sistemleri
  • Web Uygulamaları
  • Mobil Uygulamalar
  • Kablosuz Ağ Sistemleri

Kullanıcı Profilleri

Test sırasında farklı yetkiler ve noktalardan farklı kullanıcı profilleri ile testler gerçekleştirilir.

  • Anonim Kullanıcı Profili: İnternet üzerinden,  web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılacaktır.
  • Müşteri Profili: İnternet üzerinden, web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılacaktır.
  • Misafir Profili: Ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılacaktır.
  • Çalışan Profili:Personelin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılacaktır. Çalışan profili ile gerçekleştirilecek testlerde, Kurum çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilecektir. Banka çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa Banka tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmektedir.
  • Diğer Kullanıcı Profilleri: Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilecektir.

Sızma Testi Adımları

Aşağıda sızma testi sırasında genel olarak takip edilen metodoloji ve adımlar listelenmektedir.

  • İnternet üzerinden gerçekleştirilecek temel sızma testleri: Kurum ağından bağımsız bir lokasyondan, Kurumun internet üzerinde sahip olduğu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilecektir.
  • Kurum iç ağından gerçekleştirilecek temel sızma testleri: Kurumun iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanacaktır:
    • Kurum yerel ağ haritası tespiti
    • Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi
    • Yerel alan ağı içerisinde zafiyet taraması yapılması
    • Kurum yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
    • Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi
    • Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması
  • Kurum şube ağından gerçekleştirilecek temel sızma testleri: Kurumun şube ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanacak:
    • Şube yerel ağ haritasının tespiti
    • Şube yerel alan ağında zafiyet taraması yapılması
    • Şube yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
    • Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi
    • Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi
    • Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi

Sızma Testi Hizmeti

Sızma Testi Hizmeti ile Kurumun iç ve dış ağında gerçek hayatta karşılaşabileceğiz siber saldırılar simüle edilmekte ve elde edilen bulgular raporlanmantadır. Temel olarak aşağıdaki faydalar elde edilecektir.

  • Uygulamalı Güvenlik Denetimi
  • Kompleks Zafiyetlerin tespit edilmesi
  • Zincirleme zafiyetler ve aralarındaki ilişkiler
  • Zafiyetlere çözüm önerileri
  • Risk ve Tehdit Tespiti ve Modellemesi
tr_TR
en_US tr_TR