Siber Güvenlik Ve Penetrasyon

Sızma testi, bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, siber güvenlik uzmanları tarafından gerçekleştirilen yasal güvenlik testleridir. Bilgi Güvenliğinde çok önemli bir alan olan Penetration Test kapsamında asıl amaç, zafiyetleri ayrı ayrı tespit edip raporlamaktan öte, zafiyeti sisteme zarar vermeyecek şekilde kullanmak ve yetkili erişimler elde etmektir. Sızma testi ile kurumlar, yaptıkları bilgi güvenliği yatırımlarının ne denli doğru veya eksik olduğunu da görebilmektedirler. Pentest çalışmaları, proaktif güvenlik olarak uygulanan offensive security çalışmaları kapsamında yapılmaktadır. Sızma testleri web uygulama güvenliği, yerel ağ güvenliği, mobil uygulama güvenliği, kaynak kod analizi, bulut sistemler, ddos saldırılarına karşı pentest, kablosuz ağ pentest ve voip pentest gibi alt dallara ayrılır

Sızma Testini Zafiyet Analizinden Ayıran Farklar

Sızma testleri, müşteri tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmaya çalışma işlemlerinin tamamına verilen addır. Yani pentest, tüm bilişim sistemlerinizi bir hacker gözüyle inceleyerek, ulaşılabilecek en yetkili seviyeye sisteminize zarar vermeden erişmek ve bu aşamada karşılaşılan zafiyet ve eksiklikleri çözüm önerileriyle profesyonel olarak raporlamaktır. Sızma testlerinde amaç, güvenlik açıklığını bulmaktan öte bulunan açıklığının değerlendirip sistemlere yetkili erişimler elde elde edilebilmesidir. Çoğu firma veya kurum bilgi ve tecrübe eksikliği gibi nedenlerden dolayı sızma testi yaptırırken testin kapsamını dar tutmakta ve sadece önemli görülen bazı kritik sunucuları teste tabi tutmaktadır. Fakat siber saldırganlar, hedefleri ile ilgili önemli veya önemsiz olarak değerlendirme yapmazlar, kurum için önemsiz gibi görülen bir sunucuyu sisteme erişmek için basamak olarak kullanabilirler. Whitebox, blackbox, graybox olmak üzere dünya genelinde kabul görmüş üç çeşit sızma testi vardır. Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen fakat ayrı kavramlardır. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının çeşitli yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç sadece güvenlik açıklıklarını belirlemek değil, aynı zamanda bu zafiyetleri kullanarak hedef sistemlere sızma, yetki arttırabilecek farklı sunuculara geçiş yapma, veri tabanlarına erişim elde etme gibi networkün güvenliğini tehlikeye atacak yol ve yöntemleri keşfetmektir.

Blackbox Penetration Test

Siyah kutu testleri bilişim sisteminizi tam anlamıyla dışarıdan bir hacker gözüyle incelemektir. Her bir bulunan zafiyet değerlendirilerek en üst seviyedeki kullanıcıya erişilmek amaçlanır.

Graybox Penetration Test

Gri kutu testlerinde kurumunuzun bilişim sistemlerine veya uygulamalarına ait kısmi bazı erişim bilgileri elde edildikten sonra testlere başlanır. Amaç en temel kullanıcı seviyesinden, daha üst seviyelere erişimin sağlanıp sağlanmadığını kontrol etmektir.

Whitebox Penetration Test

Beyaz kutu penetrasyon testlerinde uzmanlarımız kaynak kod üzerinde analizler gerçekleştirir, kodlama yapısı ve bileşenleri keşfedildikten sonra sanal ortamda testler gerçekleştirilir. Kod yapısı üzerinde belirlenen muhtemel zafiyetler değerlendirilmeye ve sonuçları görülmeye çalışılır.

Sistemlerinizin Sürekliliği İçin Sızma Testini Düzenli Olarak Mutlaka Yaptırın

Bilgi güvenliği alanında yaptığınız yatırımların ne ölçüde başarılı olduğunu veya ne derecede doğru yapılandırıldığını görmeniz açısından sızma testleri hayati önem taşımaktadır. Bu konuda TRYSEC, dilerseniz şirketinizi dışarıdan bir göz olarak inceliyor, güvenlik zafiyetlerini tespit ediyor, değerlendiriyor ve erişilebilecek en yetkili seviyeye ulaşmak için testler gerçekleştiriyor; dilerseniz de kaynak kod analizi yaparak yazılımınızın güvenlik açıklarını raporluyor.

Öztek bilgi güvenliği uzmanları sadece Türkiye ‘de değil dünyanın farklı yerlerinde bilgi güvenliği alanında başarılı çalışmalar yapmış yetkin bir kadrodur

Bilgi güvenliği uzmanlarımız yalnızca standart bilişim sistemlerinde değil, kritik alt yapı sistemlerinde kullanılan PLC ve SCADA gibi sistemlerinin çalıştığı sunucuların güvenlik testlerinde de tecrübelidir.

Uzman kadromuzla kurumunuzun baştan sona tüm bilişim sistemini denetimden geçiriyor ve tespit edilen güvenlik açıklarına alınabilecek önlemler konusunda siz değerli müşterilerimize çözümler sunuyoruz.

Penetrasyon Testi Çeşitleri ve Siber Güvenlik Hizmetleri

Yerel Ağ (Network) Pentest Hizmeti

Kurumunuzun yerel ağı üzerinden gerçekleştirilir. Yerel ağda bağlı herhangi bir istemcinin güvenlik açısından ne riskler getirebileceğini gösterme amaçlı olarak gerçekleştirilmektedir. Uzmanlarımız yerel ağınız üzerinde yapmış oldukları testlerle güvenlik açıklarınızı ve network envanterinizde bulunan konfigürasyon hataları ve güncelleme eksiklikleri gibi bir çok bulguyu keşfederek daha güvenli bir network için çalışmalar yapar.

İnternet Üzerinden Pentest Hizmeti

Kurumun internete açık varlıkları üzerinden testlerinin yapılması, kurumun dışa açık web sunucuları, DNS sunucuları, Eposta sunucuları, ip telefonları, vb. kapsam olarak belirtilen tüm dışa açık bilişim sistemlerine ait sızma testlerinin yapılması ve raporlama hizmetini içermektedir.

Kablosuz Ağ (Wireless) Pentest Hizmeti

Kurumun kablosuz sistemlerinin altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara veya art niyetli kişilerin girişimlerine karşı sızma testlerinin yapılması ve raporlama hizmetini içermektedir. Kablosuz ağlarınızda bulunan açıklıklar ve hatalı yapılandırmalar ile birlikte diğer zafiyetler tespit edilerek raporlaştırılır.

Web Uygulama (Web Application) Pentest Hizmeti

Firmanın internete açık olan servisleri üzerinden web uygulamaları güvenliği adına pentest çalışmaları yapılır. İnternete açık olan http servisi üzerinde çalışan web uygulamalarının yanı sıra, mail, dns sunucuları, ftp vb. servisler üzerinden web güvenliği adına sızma denemeleri gerçekleştirilir. Yapılan Web Uygulama Güvenlik testlerinde kurumunuzun internete açık olan tüm kaynakları incelenerek ve profesyonel ekibimizin tecrübeleri ile uluslararası metodolojiler kullanılarak testlerimiz gerçekleştirilir. Gerektiğinde otomatize araçlar, gerektiğinde ise manüel testler gerçekleştirilerek uygulamalarınızın güvenliği hakkında kapsamlı bir rapor sunuyoruz.

Kaynak Kod Analizi Hizmeti

Kurumunuzun yazılımlarının kaynak kod analizi yapılarak sahip web ve masaüstü uygulamalarınızın güvenlik testleri gerçekleştirilmektedir. Uygulamalarınızda bulunan zafiyetler tespit edilerek gelişmiş siber saldırılara karşı önlem almanız sağlanır. Simülasyon ortamında yapılan denemeler ile masa üstü ve web uygulamalarınızın güvenli yazılım geliştirme standartlarına uyumu için çalışmalar yapılır.

Mobil Pentest Hizmeti

Gerek Android gerekse iOS işletim sistemi için geliştirilmiş mobil uygulamalara yönelik statik ve dinamik güvenlik kontrolleri simülasyon ortamınde uygulamanın türüne göre gerçekleştirilmektedir. Uygulamanın kaynak kodları incelenip daha sağlıklı bir mobil uygulama geliştirmeniz için yardımcı oluyoruz.

Cloud Pentest Hizmeti

Sahip olduğunuz Cloud (bulut) sunucularında bulunması muhtemel zafiyetler için yapılan penetrasyon testidir. Bu testlerde sunucularınız üzerindeki yapılandırma hatalarını keşfetmek ve alınan güvenlik cihazlarını bypass etmek gibi farklı yöntemler denenir.

DDoS Test Hizmeti

Kuruma ait olan bilişim sistemleri servis dışı bırakma saldırıları (DOS/DDOS) ile test edilmektedir. DDoS testlerinin üst sınırı genellikle 25 Gbps ‘e kadar ulaşmaktadır.

Voip Sistemleri Pentest Hizmeti

Kullanılan SIP sunucuları ve VOIP sistemi üzerinden yapılacak aldatma yöntemleri, yönlendirme ve dinleme işlemleri gibi birçok zafiyetlerin test edilmesi amaçlanır. Voice Over Ip sistemlerinizde tespit edilen tüm güvenlik açıkları raporlanır ve açıklıkların kapatılması için çözüm raporları sunulmaktadır.

Son Kullanıcı Güvenlik Testleri / Sosyal Mühendislik Testleri

Kurum çalışanlarınıza ait iletişim bilgileri, halka açık platformlar üzerinden elde edilerek sosyal mühendislik saldırıları gerçekleştirilir. Bu testlerde amaç çalışanlarınızın bilgi güvenliği farkındalığı edinmesini sağlamaktır.

PLC/SCADA Sistemleri Pentest Hizmeti

Kurumunuzun elektrik, su, nükleer santral vb. üretim tesislerinde bulunan PLC/SCADA sistemlerinin bulunduğu networke özel, iç ağ üzerinden ve internet üzerinden gerçekleştirdiğimiz sızma testleridir.

Kripto Para Sistemleri Pentest Hizmeti

Kripto para borsasına yönelik ve kripto sistemler barındıran sunucu ve uygulamalarınızın güvenlik testlerini alanında uzman çalışanlarımız ile gerçekleştiriyoruz. Gerek web uygulamalarına yönelik güvenlik açıklarını, gerekse sistemsel zafiyetler ile birlikte logical hataları tespit etmeye yönelik detaylı pentest hizmeti veriyoruz.

Güvenilir bir firma olmanın zorluğunun farkında olarak Sektörün öncü firmalarıyla yaptığımız anlaşmalarlın verdiği güç ve azimle projelerimizi zamanında teslim ediyoruz.