Penetrasyon (Sızma) Test Hizmeti
Dijital dünyada “Güvenli Olan” tek sistem henüz fişi prize takılmamış olandır!
BT güvenliği söz konusu olduğunda, özellikle güvenlik zafiyetleri hiç beklenmedik anda ve hiç umulmayan yerlerden büyük sorunlara yol açabilir. Özellikle, bilişim sistemi güvenliği söz konusu olduğunda veri ve genel sistem güvenliği, kötü niyetli birçok kişi / yazılım veya grubun hedefindedir.
Aryom Yazılım ve Yüksek Teknoloji A.Ş. bünyesinde hizmet veren DGRNET ekibi, alanında uzman sistem mühendisi ve yazılım geliştirme uzmanından oluşturmaktır.
Hizmet verdiğimiz alanlardan biri olan Penetrasyon testi veya bir diğer bilinen adıyla sistem sızma testi; ekibimizde yer alan uzmanlar tarafından bilişim sisteminde var olan zafiyet, açık veya kritik hataları tespit etmek amacındadır.
Bilgi Teknolojileri alanında; danışmanlık, eğitim ve denetim hizmetleri veren DGRNET, sistem güvenliği ve bilişim sistemlerinin sağlıklı ve sorunsuz sürdürülebilir faaliyetleri için oldukça önemli olan penetrasyon testi işlemlerini, ulusal ve uluslararası yetkinlik sertifikalarına (CISA, CISSP, CISM, CRISC, CGEIT, CEH, PCI-DSS, ITIL, COBIT, ISO27001 LA, ISO27701 LA ) uzman bir ekiple yapmaktadır.
Pentest işlemlerin tümü uluslararası The Information System Security Assessment Framework (ISSAF) kapsamında başlar ve yürütülerek sonuçlandırılır.
Pentest esnasında, kullandığımız tüm yazılımlar bilgi iletişim güvenliği test ve analiz standartlarına uygun, lisanslı ve global geçerliliktedir.
ARYOM, çözüm ortaklığında sabit paketleri ve standart sınırları tercih etmediği için tüm şirket, marka ve kurumlara özel çözümler benimsemiştir.
Söz konusu Bilgi Güvenliği ve Bilişim Teknolojileri olduğunda, hizmet kapsamını detaylı görüşmeler sonrasında var olan sorunlar ve çözümlerine yönelik tüm yol haritasını belirleyerek şekillendiriyoruz.
En Merak Edilen Noktalarıyla Penetrasyon (Pentest)
Penetrasyon Testi (Pentest) Nedir?
Penetrasyon testi, bilgi iletişim sistemi, network, yazılım, program, web sitesi vb. üzerinde herhangi sebep/sebeplere bağlı olarak art niyetli aksiyon ve saldırılara karşı; sistemin öncesinde test edilmesi ilkesine dayanmaktadır. Bu test esnasında, hack (saldırı) girişimlerinde sistemin zafiyetlerini tespit edebilir, tedbirlerini alarak sistem gelişimi ve sürdürebilirliğini sağlayabilirsiniz.
Bir nevi simülasyon işlemi olan bu test, donanım, yazılım dahil hatta fiziksel parçaların keşfedilebilir / zarar verilebilir tüm zayıf noktaların belirlenmesini sağlar. Geniş bir kapsamda, bilgi iletişim güvenliği dahil bilişim sisteminize dahil her eleman bu teste tabi olabilir.
Penetrasyon Testi (Pentest) Yöntemleri
Pentest, Hacking ‘de olduğu gibi 3 ana kategoriye sahiptir. Hack saldırı amacı ele geçirme, tespit amaçlı yardımcı veya tamamen eğlence / deneme amaçlı bir saldırı olabilir.
Pentest sırasında da testi uygulayan kişi / ekip sistem hakkında hiç / kısıtlı / tam bilgiye sahip olarak sınırlandırılır.
Black Box Penetration
White Box Penetration
Grey Box Penetration
Bu yöntemlerin kısaca açıklamaları ise şu şekilde:
Black Box Penetration
Türkçe karşılığı “Kara Kutu Testi” olan bu yöntemde, sistem yönetimi ve kullanıcılarına hiçbir bilgi vermeden – test uzmanının sistem hakkında teknik veya anonim bilgiler dışında hiçbir özel bilgiye sahip olmadan yapılan saldırı girişimidir.
White Box Penetration
Türkçe karşılığı “Beyaz Kutu Testi” olan bu yöntemde, tamamen bilgi dahilinde yapılan bir saldırı girişimidir. Test uzmanı, sistem mimarisi ve ağ yapılandırması konusunda gerekli tüm bilgiye sahiptir ve bu bilgiler ışığında en sık karşılaşılan zafiyeti / açıkları tespit eder ve raporlar.
Grey Box Penetration
Türkçe karşılığı “Gri Kutu Testi” olan bu yöntem, test uzmanının sistem mimarisi ve ağ yapılandırması hakkında sınırlı bilgiye sahip olduğu saldırı girişimidir. Burada sistem hakkında, standart bir kullanıcının farkında dahi olmadan bir açığı veya zafiyeti tetiklemesi olasılığıyla hareket edilir.
Aryom Yazılım ve Yüksek Teknoloji A.Ş. bünyesinde faaliyetlerine devam eden DGRNET, Savunma Sanayi Başkanlığı & Cumhurbaşkanlığı Dijital Dönüşüm Ofisi öncülüğünde devam, Türkiye’nin en saygın siber güvenlik ve bilgi iletişim güvenliği yapılanması olan TÜRKİYE SİBER GÜVENLİK KÜMELENMESİ üyesidir.
Penetrasyon Süreci
Bilgi Toplama (Reconnaissance): Hedef sistemler hakkında mümkün olan her türlü bilgi toplanır. Bu, hedeflerin IP adreslerini, kullanılan teknolojileri, sistem konfigürasyonlarını ve potansiyel zayıf noktaları içerir.
Zafiyet Keşfi (Vulnerability Assessment): Toplanan bilgiler kullanılarak hedef sistemlerdeki potansiyel güvenlik açıkları ve zayıf noktalar tespit edilir. Bu adım genellikle otomatik araçlar ve manuel incelemelerle gerçekleştirilir.
Saldırı (Exploitation): Tespit edilen güvenlik açıkları üzerinde gerçek saldırılar simüle edilir. Bu adımda, açıkları kullanarak sistemlere erişim sağlamak ve yetkilendirilmemiş ayrıcalıklar elde etmek gibi işlemler gerçekleştirilir.
Yetkilendirme (Authorization): Pentest sırasında gerçekleştirilen her türlü saldırı ve testin yasal ve etik çerçeveler içinde yapılmasını sağlamak için önceden belirlenmiş yetkilendirme ve izinlerin varlığı önemlidir.
Raporlama ve Öneriler (Reporting and Recommendations): Pentest sonuçları detaylı bir rapor halinde sunulur. Bu rapor, tespit edilen güvenlik açıkları, bu açıkların potansiyel riskleri ve düzeltici önlemlerle ilgili öneriler içerir.
Bir pentestin süresi genellikle birkaç faktöre bağlıdır ve değişkenlik gösterebilir. Bu faktörler arasında:
Kapsam: Pentestin yapılacağı sistemlerin ve ağların büyüklüğü ve karmaşıklığı.
Hedefler: Pentestin amacı ve detaylı test edilmesi gereken alanların belirlenmesi.
Test Yöntemleri: Otomatik tarama araçları ve manuel testlerin kullanılma oranı.
Raporlama ve Analiz: Tespit edilen güvenlik açıklarının detaylı bir şekilde incelenmesi ve raporlanması.
Genel olarak, küçük ölçekli bir pentest birkaç gün içinde tamamlanabilirken, büyük bir organizasyon veya karmaşık ağ altyapıları için pentest süresi birkaç haftayı bulabilir. Özellikle manuel testlerin yoğun bir şekilde yapıldığı kapsamlı pentestler daha uzun sürebilir.
Penetrasyon (Pentest) Testi Sonrası Destek?
Yukarıda detayları verilen pentest türlerinden bir veya birden fazlası sistem test uzmanlarımız tarafından uygulandıktan sonra, DGRNET tarafından;
Detaylı Raporlama ve Analiz,
Düzeltici Önlemler ve Danışmanlık,
Yeniden Test ve Doğrulama,
Güvenlik Eğitimleri ve Farkındalık Programları,
Sürekli Güvenlik ve İyileştirme Danışmanlığı,
Olay Yanıtı ve Müdahale,