Penetrasyon Testi

Bilgi Güvenliği Sızma Testleri Kuruluşların içerden veya dışardan olabilecek saldırı ve izinsiz erişimlere karşı zafiyetlerin tespit edilip raporlanmasıdır. Farkımız testlerimiz konusunda uzman etik hackerlar tarafından gerçek senaryolar çalışılarak yapılmaktadır. Bu sayede iç ve dış açıkların detaylı analizi yapılarak gerçek bir ağ denetimi sağlanmış olur. Test çalışmamız TSE ve BDDK’nın yönetmeliklerine uygundur.

ISO/IEC 27001, ISAE 3402, NIST, PCI DSS, SoX/Cobit, SAS 70 uyumlu raporlama yapılır.

Belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, “yetkili” kişiler tarafından ve “yasal” olarak gerçekleştirilen güvenlik testleridir.

Pentest çalışmalarındaki asıl amaç, zafiyeti tespit etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir.

Sızma testleri sayesinde, kurumun web sitesinin devre dışı kalması, kredi kartı ile alışveriş yapan müşterilerin ödeme bilgilerinin çalınması, personele ait özel nitelikli tüm verilerin sızdırılması gibi farklı felaket senaryoları henüz yaşanmadan açıklarınızı tespit edebilir ve gerekli önlemleri alabilirsiniz.

Pentest hedefe, sektöre, simüle edilecek saldırıya ve sisteme bağlı olarak üçe ayrılır.
İç Ağ (Internal) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap aranmaktadır.

Dış Ağ (External) Sızma Testi: Bu sızma testi çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap aranmaktadır.

Web Uygulama Sızma Testi: Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır ancak odak noktamız web uygulamalarıdır.

Web application pentest olarak da tanımlanan web uygulamaları sızma testleri genel pentest kavramından farklıdır.

Web uygulama sızma testlerimiz, hedef sistemde kullanılan geliştirme dillerinden (PHP, Java, ASP.NET, Ruby gibi) bağımsız olarak gerçekleştirilir.

Günümüz siber saldırıları incelenip analiz edildiğinde, dışarıdan içeriye doğru gerçekleştirilen saldırıların büyük bölümünün web uygulamalarındaki güvenlik açıklıkları kullanılarak gerçekleştirildiğini ortaya çıkarmıştır. Kurumlar birçok yazılım dilini kullanarak web uygulamaları geliştirirler ve genel olarak web uygulaması geliştirme ihtiyaçlarını üçüncü parti firmalar üzerinden sağlarlar.

Öncelikle kurum çalışanlarının bilgi güvenliği farkındalığını tespit etmek amacıyla ortak belirlenen senaryolar kullanılarak, sosyal mühendislik saldırısı gerçekleştirilir. Müşteri tarfından belirlenen kişilere yönelik farklı senaryolarda sosyal mühendislik testleri gerçekleştirilebildiği gibi kurum geneline yayılan blackbox testler de yapılabilmektedir.

Sosyal mühendislik senaryoları her kurum için özel olarak hazırlanmakta olup kurum çalışanlarına ve ihtitiyaçlarına yönelik geliştirilmektedir. Yapılan testler tamamlandığında kurum yöneticileri ile çalışanların zafiyetleri ortaya konularak departman veya kullanıcı bazında raporlama yapılmaktadır.

1. Planlama ve keşif
İlk aşama şunları içerir:

Ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere bir testin kapsamını ve hedeflerini tanımlama.
Bir hedefin nasıl çalıştığını ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat toplamak (ör. Ağ ve alan adları, posta sunucusu).

2. Tarama
Bir sonraki adım, hedef uygulamanın çeşitli izinsiz giriş girişimlerine nasıl yanıt vereceğini anlamaktır. Bu genellikle şu şekilde yapılır:

Statik analiz - Çalışırken nasıl davrandığını tahmin etmek için bir uygulamanın kodunu inceleme. Bu araçlar, kodun tamamını tek geçişte tarayabilir.
Dinamik analiz - Çalışır durumda bir uygulamanın kodunu inceleme. Bu, bir uygulamanın performansına gerçek zamanlı bir görünüm sağladığı için daha pratik bir tarama yöntemidir.

3. Erişim Kazanma
Bu aşama, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma , SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırılarını kullanır . Test uzmanları daha sonra, neden olabilecekleri zararı anlamak için genellikle ayrıcalıkları artırarak, verileri çalarak, trafiğe müdahale ederek vb. Bu güvenlik açıklarından yararlanmaya çalışır.

4. Erişimin sürdürülmesi
Bu aşamanın amacı, güvenlik açığının, kötü bir aktörün derinlemesine erişim elde etmesi için yeterince uzun süre, sömürülen sistemde kalıcı bir varlık elde etmek için kullanılıp kullanılamayacağını görmektir. Buradaki fikir, bir kuruluşun en hassas verilerini çalmak için genellikle aylarca sistemde kalan gelişmiş kalıcı tehditleri taklit etmektir.

5. Analiz
Sızma testinin sonuçları daha sonra aşağıdaki ayrıntıları içeren bir rapor halinde derlenir:

Sömürülen belirli güvenlik açıkları
Erişilen hassas veriler
Pen test cihazının sistemde tespit edilmeden kaldığı süre
Bu bilgiler, güvenlik açıklarını yamalamak ve gelecekteki saldırılara karşı korumak için bir kuruluşun (WUGD) ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için güvenlik personeli tarafından analiz edilir.