Sızma Testi Penetrasyon Test Hizmeti
Pentest hizmeti olarak da bilinen sızma testi bilişim sistemlerindeki sorunların, hataların ve zafiyetlerin ortaya çıkartılarak, kötü niyetli siber saldırganlar tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek amacı ile, alanında uzman ve yetkili kişiler tarafından gerçekleştirilen özel bir siber güvenlik danışmanlık hizmetidir. Sızma testleri kurumların siber saldırılara karşı güvenlik düzeylerini değerlendirmeyi ve tespit edilen riskleri yönetmeyi amaçlar.
Gerçekleştirilen sızma testi hizmetindeki önemli nokta, zafiyetleri tespit etmekle birlikte tespit edilen zafiyetler kullanılarak ilgili sistemde yetkili erişimlerin nasıl elde edilebileceğini ve nelerle sonuçlanabileceğini göstermesidir.
Sızma testi her bir varlık türüne göre önceden belirlenen senaryolar dahilinde gerçekleştirilir. Bu senaryolar ile gerçekleştirilecek olan sızma testinin kapsamı, ilerleyiş biçimi, sızma teknikleri, güvenlik cihazları ve güvenlik ürünleri için atlatma teknikleri belirlenir. Sızma testleri gerek ulusal gerekse de uluslararası metadolojik yaklaşımlar temel alınarak gerçekleştirilir.
TSE Onaylı Sızma Testi Hizmeti
TSE Onaylı Sızma testleri, penetrasyon testi (pentest) olarak bilinen IT (Information Technology) varlıklarına yönelik gerçekleştirilen ve siber güvenlik tehditlerini önceden tespit etmek için kullanılan özel bir danışmanlık hizmetidir. Sızma testi ile kurum IT varlıklarının iletişimleri, bağlantıları ve bu varlıklar üzerindeki uygulamalar test edilerek, açıklıkların ortaya çıkartılması ve yetkili erişimler elde edilmesi hedeflenir.
Türk Standartları Enstitüsü (TSE) tarafından belirlenmiş sızma testi süreçleri ile birlikte sızma testleri gerçekleştirilmektedir. Gerçekleştirdiğimiz TSE Onaylı Sızma Testi ile bilişim sistemlerinizin güvenliği belirlenen (TSE 13638 standartlarına uygun) kriterler doğrultusunda değerlendirilmektedir. Ulusal ve uluslararası metadolojiler temel alınarak gerçekleştirilen sızma testleri, aşağıda yer alan üç ana yöntem kullanılarak testler uygulanır.
Fiyat Teklifi
Pentest Hizmetinde Uygulanan Yaklaşımlar
Siber güvenliği sağlamanın en iyi yolu, güvenlik zafiyetlerini değerlendirmek ve sızma testi hizmetlerini kullanmaktır. En iyi sızma testi hizmeti, otomatik sızma testi hizmetlerinin ötesinde ve bir hacker bakış açısı ile yapılan testlerdir!
Siyah Kutu (Black Box): Sızma testi yapılacak sistemlerle ilgili herhangi bir bilgi test ekibine verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve testler yapılması beklenmektedir.
Gri Kutu (Gray Box): Bu yaklaşımda, sistem ile ilgili bilgiler mevcuttur. IP adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi birçok bilgi güvenlik testi yapacak ekibe önceden sağlanır. Kontrolü ve testi istenen IP adresleri belli olduğundan sistemin, istem dışı zarar görme ihtimali de azalmış olur.
Beyaz Kutu (White Box): Güvenlik testi ekibi, sistemin kendisi ve arka planda çalışan ilave teknolojiler hakkında tam bilgi sahibidir. Black Box tekniğine göre kurum ve firmaya daha büyük fayda sağlar. Hata ve zafiyetleri bulmak kolaylaşacağından bunlara tedbir alınma süresi de azalacaktır.
Kurumunuza Özel Sızma Testi Hizmeti
Sızma Testi (Penetrasyon) Metodolojisi
Privia Security tarafından periyodik olarak gerçekleştirilecek sızma testi sayesinde kritik sistemler üzerindeki güvenlik zafiyetleri tespit edilebilmekte ve kötü niyetli kişiler tarafından bu zafiyetler kullanılmadan önce önlem alınması amaçlanarak, bu zafiyetlerin ortadan kaldırılması mümkün hale gelmektedir. Kurum bünyesinde yer alan IT altyapısının hali hazırdaki güvenlik yapısını ve bu yapıda bulunan zafiyetleri ortaya çıkartmak için öncelikle hem dışarıdan (Internet) hem de içeriden (Internal) sızma testi gerçekleştirilir.
Sızma Testi Evreleri Nelerdir?
Zafiyet Seviyelendirmesi; Sızma testi esnasında tespit edilen zafiyetler, sistemin güvenliğini tehdit ediş boyutları göz önünde bulundurularak seviyelendirilir.
Bilgi Toplama Evresi; Bilgi toplama, kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir.
Pasif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilmeden, hedef sistemler hakkında arama motorları vasıtasıyla bilgi toplanan evredir.
Aktif Bilgi Toplama; Bilgi toplama evresinde hedef sistemler ile birebir iletişime geçilerek, hedef sistemler hakkında bilgi toplanan evredir.
Port Tarama; Bilgi Toplama Evresi’nin ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır.
Zafiyet Tarama; Hedef sisteme ait bilgi toplama ve port tarama, servis tespitinin ardından, elde edilen bilgiler değerlendirilerek zafiyet taraması gerçekleştirilir.
Enumeration; Açık olduğu tespit edilen portları hangi servislerin kullandığı, bu servislerin hangi üreticiye ait servisler olduğu, versiyonları gibi bilgiler öğrenilir.
Exploitation Evresi; Zafiyet Tarama ve Enumeration evlerinin ardından tespit edilen zafiyetler istismar edilmeye çalışılarak, hedef sistem ve güvenliği üzerinde denemeler gerçekleştirilir.
Hak ve Yetki Yükseltme Evresi; Erişim kazanmak bir sızma testinin odak noktasını oluşturur. Tespit edilen zafiyetler istismar edilerek, hedef sistem üzerinde erişim elde edilmeye çalışılır.
Post Exploitation Evresi; İstismar sonrası safhasının amacı ele geçirilen sistemin değerinin belirlenmesi ve sistemin daha sonra kullanmak üzere denetiminin sürdürülmesidir.
Yapılan İşlemleri Geriye Alma Evresi; Testin bitirilmeden önce sistemler üzerinde yapılan tüm değişiklerin geriye alınması gerekmektedir. Bu evre azami özen gösterilmesi gereken bir evredir.
Raporlama Evresi; Müşteri tarafından yazılı olarak istenmesi durumunda raporun matbu hali, üzerine “Gizli” ibaresi vurulmuş kapalı bir zarf içerisinde teslim edilir.
Sunum; Raporların tesliminden sonra istenmesi halinde kurum personeline, gerçekleştirilen sızma testine ilişkin özet mahiyetinde bir sunum yapılır. Bu sayede kurum personeli, sızma testini gerçekleştiren uzmanlarımızla test ile ilgili görüş alışverişinde bulunabilme imkânı kazanırlar.
Sızma Testi Doğrulama Denetimi, Raporu ve Kapanış
Sızma testi raporunun teslimi ve sunumunun gerçekleştirilmesinin ardından Privia test ekibiyle Müşteri güvenlik ekibinin karşılıklı mutabık kalacakları bir tarihte, test ekibi tarafından tespit edilen zafiyetlerin Müşteri tarafından giderilip giderilmediği kontrol etmek adına bir doğrulama denetimi gerçekleştirilir. Doğrulama denetimi sonucunda yeniden ayrı bir rapor düzenlenmez, zafiyetlerin kapatılıp kapatılmadığına ilişkin bir excel hazırlanarak, kurum ile paylaşılır.
Sunmuş olduğumuz hizmetlerde değerli müşterilerimiz ile aramızda NDA anlaşması imzalayarak gizlilik ve veri güvenliği konusunda da ulusal ve uluslararası metodları kullandığımızı da hatırlatmak isteriz. Sızma (Penetrasyon) testi fiyatları seçilecek olan test yönetimi ve varlıklara göre belirlenir.
Kurumunuza özel sızma testi (pentest hizmeti) fiyat teklifi için bizimle iletişime geçebilir ve uzmanlarımızdan detaylı bilgi alabilirsiniz.