Sızma Testi (Pentest) Nedir?
Teklif almak için bizi arayın: 0 850 372 4770
E-posta: [email protected]
Artan siber tehditler karşısında, hacker'ların sistemlerinize olası giriş yollarının tespiti için sızma testlerinin yapılması ve sonuçlarının akademik titizlikle incelenmesi gerekiyor.
Prof. Dr. Bilgin Metin, Boğaziçi Üniversitesi
Sızma Testi (pentest) hizmetimiz Prof. Dr. Bilgin Metin'in bizzat katıldığı uzman ekibimiz tarafından, müşterinin talebi ve onayı doğrultusunda, bilişim sistemlerindeki zafiyetlerin tespit edilerek, sistemdeki gözden kaçan izinsiz giriş noktalarının test edilmesidir. Bu hizmetimizdeki ana amaç, siber korsanlar kurumların sistemlerine zarar vermeden önce mevcut zafiyetleri tespit edip kapatılmasını sağlamaktır. Testler yapıldıktan sonra sızma testi raporlar oluşturulmaktadır. Raporlar üst yönetimin işini kolaylaştıracak şekilde bir yönetici özeti de içermektedir. Sızma testlerinin bir yönü de sosyal mühendislik çalışmalarıdır. Bu çalışmalar vasıtası ile amaç kurum içerisindeki bilgi güvenliği farkındalığını artırmaktır. Sızma testi siber güvenlik açısından kuruluşun bir röntgeninin çekilmesi gibidir. Test ile zayıf noktaların tespiti ardından kuruluşun siber güvenlik altyapısını güçlendirecek ve KVKK uyumluluğunu sağlayacak önerilerde de bulunulmaktadır.
Prof. Dr. Bilgin Metin Boğaziçi Üniversitesindeki akademik kariyerini uluslararası/ulusal sertifikalarla ispatlı saha tecrübesi ile birleştirerek sektöre ve öğrencilerine sunmaktadır: Offensive Security Certified Professional (OSCP), CISA (Certified Information Systems Auditor), C.B. Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Baş Denetçisi, ISO 27001 lead Auditor, ISO 27701 Lead Auditor, CDPSE (Certified Data Privacy Solution Engineer), TSE Sızma Testi Uzmanı ( Ağ ve Sistem Altyapısı, web uygulamaları ve veri tabanı), CCNA (Cisco Certified Network Associate), CCDA (Cisco Certified Design Associate) sertifikaları saha deneyimini göstermektedir..
TSE Onaylı Sızma Testi Firması Nedir?
[email protected] 05453059490 üzerinden bize ulaşablirsiniz.
TSE Onaylı Sızma Testi Firması olmak için gerekli şartlar TS13638 standardında belirtilmiştir. Firmaların sızma testleri öncesi ve sonrası yürütecekleri işlemler, pentest metodolojisi, test personelinin sahip olması gereken nitelikler ve raporların güvenli bir şekilde muhafazası konularında firmalar her yıl TSE tarafından denetime tabi tutulurlar.
Çeşitli seviyelerde sertifikalandırılan sızma testi uzmanları için TSE tarafından teorik ve uygulamalı sınavlar gerçekleştirilmektedir. Hali hazırda sınavlar "Ağ ve Sistem Altyapısı" ve "Web Uygulamaları ve Veritabanları" alanlarında yapılmaktadır.Sınavlara ek olarak TSE tarafından ilan edilen dönemlerde sızma testi eğitimleri düzenlenmektedir.
BUSİBER Siber Güvenlik A.Ş. TSE-STF-047 belge numarası ile listede 11. Sırada yer almaktadır. TSE onaylı sızma testi firmaları listesi TSE-STF-047 belge numarası ile aşağıdaki listeden firamızı bulabilirsiniz:
https://basvuruportal.tse.org.tr/Genel/FirmaArama.aspx
Sızma Testi Türleri
TSE onaylı sızma testi firmalarının ilk aşamada bir kapsam formu göndererek sistemler hakkında bilgi alarak teklif verirler.
Dış Ağ Testleri (External Testing): Dış ağ testleri testler kuruluşun internet üzerinden erişilebilen sistemlerinin (kamera cihazları, sunucular, DNS kayıtları, e-posta, web sunucuları, güvenlik duvarı cihazları gibi) test edilmesidir. İnternet üzerinden bir saldırılarda kullanılabilecek atakları ve atak senaryolarını görmek hedeflenir
Yerel Ağ Testleri (Internal Testing ): Yerel ağ testleri kuruluş yerel ağı üzerindeki zafiyetlerin tespitini hedefler. Siber saldırganlar göndermiş oldukları oltalama e-posta mesajları açıldığında kullanıcı bilgisayarlarını ele geçirip yerel ağa erişim sağlayabilmektedirler. Daha sonra yerel ağdaki diğer bilgisayar ve sunuculara sızmaya çalışmaktadırlar. Bu testler anonim bir kullanıcı olarak yapılabileceği gibi, Active Directory sunucusu varsa ona üye bir test hesabı kullanılarak da sağlanabilir.
Beyaz Kutu Testi (White Box Testing): Beyaz kutu testlerinde ağ veya uygulama hakkında teknik bilgilerin ( IP adresleri, network altyapı şemaları, mevcut sunucu ve servisler) verildiği ve güvenlik duvarlarının devre dışı bırakıldığı testlerdir.
Gri Kutu Testi (Gray Box Testing): Gri kutu testi sıradan bir kullanıcı hesabı ile uygulamaya veya yerel ağa erişim anlamına gelir.Siyah kutu ve beyaz kutu testlerinin arasında bir seviyede kısıtlı seviyede bilgi paylaşılır. Test esnasında güvenlik duvarları aktif olabilir.
Siyah Kutu Testi (Black Box Testing ): Siyah kutu testi, test ekibi ile hiçbir teknik bilgi paylaşılmayan test türüdür. Web Uygulama sızma testleri için varsa anonim kullanıcı profili ile yoksa bir kullanıcı hesabı verilmeden yapılan sızma testi türüdür.
Web Uygulama Sızma Testi (web application): Kuruluşların web sunucularında çalışan uygulamalara yetkili/yetkisiz hesap bilgileri ile giriş yaparak sızma testlerinin gerçekleştirilmesidir.
Kablosuz Ağ Sistemleri Sızma Testi (wireless nework testing): Kuruluşların kablosuz ağ (Wi-Fi) sistemleri ve Access-point cihazlarına yönelik altyapısının, şifreleme algoritmalarının incelenerek dışarıdan gerçekleştirilebilecek sızmalara karşı testlerinin yapılması.
Sosyal Mühendislik Testi (Social Engineering Testing): Kuruluşların çalışanlarına ait e-posta hesaplarına oltalama e-posta mesajları gönderilmesiyle çalışanların bilinmeyen kaynaklardan gelen mesajların açılmamasına yönelik farkındalıkları ölçülür. Ek olarak telefon yoluyla aldatıcı aramalar yapılarak, sözlü iletişim kurularak çalışan farkındalığı ölçülmesi şeklinde de uygulanabilir.
Mobil Uygulama Sızma Testi (Mobile Application Testing): Kuruluşların Android ve iOS işletim sistemi için geliştirdikleri mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içermektedir.
DoS/DDoS (Hizmet Aksatma) ve Performans Testleri Kuruluşa yönelik internet üzerinden yoğun bir trafik oluşturarak veya veya uygulama sunuculara yoğun istek göndererek önde gelen atak tipleri kullanılarak hizmet dışı bırakma saldırılarının gerçekleştirme.
SCADA/EKS Sızma Testi: Üretim tesislerinde yer alan Endüstriyel Kontrol Sistemlerine (EKS) yönelik SCADA yazılımlarında bulunan zafiyetler, SCADA Network Protokolleri (MODBUS, DNP3 vb) ve PLC, RRTU (remote terminal unit ) vb Cihazlara yönelik sızma testleridir.
Client Tarafı Konfigürasyon testi: Masaüstü bilgisayar ve dizüstü bilgisayar gibi istemciler onları saldırı vektörü olarak kullanmaya çalışan kötü niyetli aktörler için hem giriş noktaları hem de ana hedeflerden biri haline gelebilirler. Bu sebeple örnek bir son kullanıcı istemcisi üzerinden güvenlik analizi ve buradan kaynaklanabilecek riskler için kontroller yapılacaktır.
