Sızma Testi ( Penetrasyon Testi, Pentest ) Hizmetleri

Sızma  Testleri

Sızma testi tekliflerimiz için: siber@boun.edu.tr,  +90 545 3059490 

BUSIBER 2017 yılından beri Akademik Kalitesi  ve Ekonomik Fiyatlarıyla Sızma Testi (Penetrasyon Testi, Pen test)
Beyaz Şapkalı Hacker (Sızma Testi, Pen Test) ve SOME Siber Olaylara Müdahale  Eğitimleriyle Sektörün Hizmetinde. 

Sızma Testi (pentest) hizmetimiz, müşterinin talebi ve onayı doğrultusunda, bilişim sistemlerindeki zafiyetlerin tespit edilerek, sistemdeki gözden kaçan izinsiz giriş noktalarının  test edilmesidir. Bu hizmetimizdeki ana amaç, siber korsanlar kurumların sistemlerine zarar vermeden önce mevcut zafiyetleri tespit edip kapatılmasını sağlamaktır. Testler yapıldıktan sonra sızma testi  raporlar oluşturulmaktadır. Raporlar  üst yönetimin  işini kolaylaştıracak şekilde bir yönetici özeti de içermektedir.. Sızma testlerinin bir yönü de sosyal mühendislik çalışmalarıdır. Bu çalışmalar vasıtası ile amaç kurum içerisindeki bilgi güvenliği farkındalığını artırmaktır. Siber sızma testi hizmetimiz, kişisel verilerin korunması ilkesine son derece özen gösteren ISO 27001 Bilgi Güvenliği Yönetimi sertifikalı laboratuvarımızda verilmektedir.

Sızma (penetrasyon) testlerimiz Türk Standartları Enstitüsü (TSE) onaylı sızma testi belgesine sahip uzmanlarca bizzat  Doç. Dr. Bilgin Metin yönetiminde gerçekleştirilmektedir.  Sızma testi hizmetimiz  TS 13638 standardında tanımlanan metodoloji izlenerek ve standard  kriterlere uygun şekilde gerçekleştirilmektedir. 

Sızma testi (Pentest) nedir ?

Sızma testi (penetrasyon testi) , bilişim sistemlerine ve sahip olduğu hassas verilere siber korsanlar tarafından yapılabilecek olası saldırıların taklit edilmesidir. Bu tatbikat neticesinde firmalar sistemlerinde bulunan zafiyetleri giderebilir ve hackerların saldırılarına karşı korunaklı hale gelebilir. Sızma testlerinin ana hatları genel olarak sistemde çalışan uygulamaların veya yazılımların tespiti, analizi ve zafiyet barındırıp barındırmadıklarının değerlendirilmesi şeklindedir.

Sızma testlerinin faydaları nelerdir?

Sızma testlerinin kurumlara birçok faydası bulunmaktadır, bunlardan bazıları ise şunlardır:

1)Firmalara sistemlerinin zafiyetleri hakkında detaylı bir rapor sunulur, bu rapor sonucunda firmalar sistemlerinin zafiyetli noktalarını kapatabilir, sistemlerini güçlendirebilir ve olası saldırılara karşı korunaklı hale gelebilir.

2)Firmalara gerçekleştirilen olası saldırılar, firmalar açısından ciddi maddi ve manevi kayıplara yol açabilmektedir. Bu sebepten dolayı firmalar, saldırıya uğradıktan sonra değil saldırıya uğramadan önce gerekli tedbirleri almalıdır.

3)Ülkemizde 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında olası saldırılar sonucu veri sızıntısı ile karşılaşıldığında, ilgili kuruma ciddi maddi yaptırımlar uygulanmakta ve kurumsal  itibarı zarar görmektedir. KVKK kapsamında firmalar çeşitli güvenlik testlerini yaptırmalı ve özellikle müşterilerinin verilerini saklı tutmakla mükelleftir.

Sızma testleri türleri nelerdir ?

Testin yapıldığı lokasyona göre 2  adet sızma testi türü bulunur. Bunlar,

İç ağ (Internal) Sızma testi :Bu sızma testi türünde, ilgili firmanın yerel ağlarına bağlanıp içeriye açık sistemleri test edilir. Özellikle çalışan bilgisayarlarının işletim sistemi zafiyetleri veya çalışanların sık kullandıkları yazılımların versiyon tespiti ve ilgili zafiyetlerin tespit edildiği sızma testi türüdür.

Dış ağ(External) Sızma testi: Bu sızma testinde ilgili firmanın web sitesi veya dış ağ sunucularına erişilip ilgili zafiyetlerin tespit edildiği sızma testi türüdür. Özellikle veri tabanlarıyla çalışılan veya kimlik doğrulaması gerektiren oturum yönetimi gibi fonksiyonlara sahip web uygulamaların testleri de yine burada gerçekleşir.

Sızma testleri yöntemleri nelerdir ?

 3 adet sızma testi yöntemi bulunur. Bunlar,

Black Box Pentest (Siyah kutu sızma testi): Bu sızma testi (penetrasyon testi) yönteminde, testi yapacak kişilere hiçbir bilgi verilmez. Testi yapacak kişiler ,ilgili ağda çalışan her türlü uygulamayı veya sistemi tespit edip zafiyetlerini aramakla yükümlüdür. Testi yapacak kişilere önceden bilgi sağlanmadığı için, firmanın önemli servisleri üzerinde yapılacak testlerde bozulma veya aksama riski daha yüksektir. Bunun yanı sıra, diğer test türlerine göre daha fazla zaman aldığı için daha maliyetlidir. Firmalar tarafından genellikle tercih edilmez.

Gray Box Pentest (Gri kutu Sızma testi): Bu sızma testi (pentest) yönteminde, testi yapacak kişilere önceden IP adresleri veya sunucular hakkında versiyon bilgileri gibi çok temel bilgiler sağlanır. Black Box yaklaşımına göre ön bilgileri daha yüksek olan sızma testi (pentest) ekibinin, hassas sistemlere karşı gerçekleştirecekleri testler daha az riskli olup testin tamamlanma süresi daha kısa olur.

White Box Pentest (Beyaz Kutu Sızma Testi): Bu sızma testi yönteminde, testi yapacak kişilere sistemler hakkında her türlü bilgi önceden sağlanır. Bu sayede testi yapacak kişiler, hassas sistemlere karşı çok daha güvenli bir şekilde test gerçekleştirecek ve olası servis durması veya aksaması problemleriyle karşılaşmayacaklardır. Aynı zamanda diğer test türlerine göre çok daha kısa sürede tamamlandığı için daha düşük maliyetli ve çok daha yüksek güvenlikli bir test gerçekleşmiş olacaktır.

Standart bir sızma testi aşamaları nelerdir ?

Standart bir sızma testi öncelikle keşif (reconnaissance) aşamasıyla başlar. Keşif aşaması sızma testleri (penetrasyon testleri) için en önemli aşamalardandır ve sızma testi uzmanları (pentester) bu aşamada sistem hakkında olabildiğince bilgi toplamaya ve karşısındaki sistemi tanımaya çalışır. Keşif aşaması test boyunca süren bir aşamadır, testin ilerleyen zamanlarında keşfedilen yeni bir bilgi ile tekrar sürecin başına dönülmeli ve adım adım ilerlenmelidir.

Keşif aşaması boyunca sistemin ağ haritasının çıkarılması, sunucu ve servislerin tespiti, işletim sistemlerinin tespiti, ağ servislerinin tespiti, kullanıcıların tespiti ve ilgili kullanıcılar için çeşitli parola kırma saldırıları ve tespit edilen sistemlerin versiyonları üzerinde çeşitli zafiyetlerin olup olmadığı ile ilgili derin araştırmalar yapılmaktadır.

Keşif aşaması sonrası ilgili sistemlerde tespit edilen zafiyetlerin sömürülmesi (exploit) ve bu durumun detaylıca ve profesyonelce hazırlanmış bir raporda sunulması oldukça önemlidir.

Sızma testi (pentest) boyunca bazen sızma testi uzmanları) pentesterlar, ilgili kurumun çalışanlarına phising (oltalama) saldırıları da düzenleyebilir ve çalışanların da güvenlik bilincini test etmek isteyebilirler. Firmalar teknik olarak sistemlerini saldırılara karşı ne kadar güçlendirseler de çalışanlarının güvenlik bilincini de yükseltmedikleri takdirde olası başarılı bir oltalama (phising)  saldırısı neticesinde zarar görmeleri muhtemeldir.

Test sonrası neler yapılmalıdır ?

Test hizmetini verecek kişiler veya kurumlar, test yaptıkları kuruma detaylı ve özenle hazırlanmış bir zafiyet raporu hazırlamalılar. Bu rapor güvenli kaynaklar aracılığıyla şifreli bir şekilde iletilmeli ve güvenliği sağlanmalıdır. İlgili rapora göre test yaptıran firmalar, sistemlerinde zafiyetleri ivedilikle kapatmalı ve sistemlerini güçlendirmelidirler. Sızma testi yapan firmalar test esnasında kullandıkları sistemde kalıcı olmak için Shell kodlarını işlemleri bitince sildiklerinden emin olmalıdırlar.

Özellikle bilişim çağında bilgisayarlarla ayrılmaz bir bütünlük kurduğumuz bu dönemde olası saldırılara karşı önlem almak ve korunaklı hale gelmek tüm kişiler ve kurumlar tarafından dikkate alınması gereken bir durumdur. Bu sebepten dolayı, her geçen gün farklı teknik ve saldırılarla karşımıza çıkan saldırganlara karşı firmalar, belirli aralıklarla bu testleri yaptırmalıdırlar.