IT Varlıklarına Yönelik Sızma Testi Metadolojisi

Privia Security tarafından periyodik olarak gerçekleştirilen IT varlıklarına yönelik sızma testlerinde, kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale getirilmektedir.

Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testleri gerçekleştirilir.

Sızma testine ilişkin detaylar aşağıda yer almaktadır. IT varlıklarına yönelik sızma testi çalışmaları beş farklı aşamadan oluşmaktadır. Bu aşamalar aşağıdaki grafikte de gösterildiği üzere sırasıyla aşağıdaki adımlardan oluşmaktadır;

• Sızma Testi Başlangıç Toplantısı
• Testin Gerçekleştirilmesi
• Sızma Testi Raporunun Hazırlanması
• Bulguların Sunumu
• Doğrulama Denetimi

IT Varlıklarına Yönelik Sızma Testi Metadolojisi

Kurum ile Privia Security arasında gizlilik sözleşmesi imzalandıktan sonra testlerin gerçekleştirileceği kapsamı, test metadolojisi ve yaklaşımı, çalışma takviminin belirlenmesi, proje planının dokümante edilmesi ve testte görevlendirilecek test yöneticisi ve ekibini belirlemek için başlangıç toplantısı gerçekleştirilir.

• Test edilecek kapsamın belirlenmesi
• Test yöneticisi ve ekibinin belirlenmesi
• Testler esnasında uygulanacak metadolojik yaklaşımın belirlenmesi
• Kurum test sorumlusunun belirlenmesi
• Çalışma takvimi ve çalışma saat aralıklarının belirlenmesi
• Proje planının çıkarılması ve dokümante edilmesi
• Test senaryosunun belirlenmesi
• Belirlenen senaryo eğer White Box sızma testi kapsamına giriyor ise IP adres aralığı, dns adresleri, web uygulamaları ve mobil uygulamaların belirlenerek test ekibine bildirilmesi
• Belirlenen senaryo eğer Black Box ise dışa açık sistemlerin tespitinin Privia tarafından yapılacağının bildirilmesi
• İç ağda ve dış ağda gerçekleştirilecek testler eğer White Box sızma testi yöntemiyle gerçekleştirilecekse, kurum tarafından gerekli erişim izinlerinin belirlenerek uygulanması talebi
• Testlerin gerçekleştirileceği IP adreslerinin belirlenerek kuruma bildirilmesi
• Erişim ve testlerin hangi ülkeler üzerinden gerçekleştirileceği bilgisinin verilmesi
• Sosyal mühendislik test senaryolarının görüşülmesi
• DDOS testinin hangi segmentlerde ve hangi saat aralıklarında gerçekleştirileceği
• Rapor standardının gözden geçirilmesi
• Test edilecek lokasyonların belirlenmesi
• Lokasyonların takvimlendirilmesi
• Lokasyonlardaki kurum sorumlularının listesinin belirlenerek Privia Security’e bildirilmesi
• Lokasyonlardaki kurum sorumlularının test veya testi gerçekleştirecek personel hakkında bilgilendirilmesi

Sızma testi başlamadan önce her ne kadar kurum ile gizlilik ve iş sözleşmeleri imzalanmış olsa da bir takım izinlerin daha alınması ihtiyacı bulunmaktadır. Kurumun üçüncü parti kurum ve kuruluşlardan aldığı uygulama yada servislerin testlerini gerçekleştirmek için bu izinlere ihtiyaç duyulur.

Sızma testi, daha önce kurum ile yapılan “Sızma Testi Başlangıç Toplantısı”nda belirlenen senaryo dahilinde gerçekleştirilir. IT varlıklarına yönelik sızma testi aşağıdaki tüm başlıkları kapsayacak şekilde ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilir. Kurumunuza özel sızma testleri fiyat teklifi için uzman ekibimiz ile iletişime geçebilir ve IT varlıklarına yönelik sızma testi metadolojimiz hakkında detaylı bilgi alabilirsiniz.