Seccops Siber Güvenlik Teknolojileri A.Ş.
A trustworthy journey to the safe zone
PENETRASYON TESTİ (SIZMA TESTİ) HİZMETİ
Seccops‘un SRT (Seccops Red Team) ekibi, uzun yıllardır siber uzayda/sektörde edindiği penetrasyon (sızma) testi tecrübelerini siz değerli müşterilerimizin ihtiyaçları doğrultusunda kullanarak kaliteli hizmet sunmayı hedeflemektedir.
Bilişim sistemleriniz profesyonel gözle ve hacker bakış açısıyla analiz edilerek tüm zafiyetler ortaya çıkarılır ve sızma simülasyonlarıyla da doğrulamalar yapılarak güvenliğin sağlanmasına oldukça katkı sağlar.
Ulusal/Uluslararası Regülasyonlarla Uyumluyuz
- TSE Onaylı Sızma Testi Firması
- BDDK Uyumlu Sızma Testi
- SPK Sızma Testi
- Güven Damgası Uyumlu Sızma Testi
- ISO27001 Uyumlu Sızma Testi
- PCI DSS Uyumlu Sızma Testi
Seccops, T.C. Savunma Sanayii Başkanlığı bünyesindeki Türkiye Siber Güvenlik Kümelenmesi üye firmasıdır.
Penetrasyon Testi Nedir?
Firmaların bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan siber saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılması ve tüm bu işlemlerin raporlanması işlemidir.
İşlemler sırasında sızma testi uzmanlarımız, tıpkı bir hacker gibi hareket eder ve çeşitli sistemlerin tüm güvenlik açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Bu güvenlik testlerinde, çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Sızma/Penetrasyon testine kısaca pentest de denilmektedir.
Sızma testlerinin amacı, kuruluşların bilgi sistemlerinde yetkisiz erişim kazanılmasına veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik zafiyetlerinin istismar edilmeden önce tespit edilmesi ve çözüm önerileriyle birlikte ayrıntılı bir şekilde raporlanmasıdır.
Sızma testleri, güvenlik denetimlerinin bir parçası olarak yer alır ve proaktif güvenliğin en önemli adımlarından birini oluşturur. Bu şekilde, teknik birimler tehditlere daha hızlı önlem alabilir ve sistemlerin savunması daha güçlü hale getirilebilir. Bu sayede oluşabilecek finansal maliyetlerin önlenebilmesi konusunda önemli kazanımlar elde edilir.
Penetrasyon Testlerinin Çeşitleri
Penetrasyon/Sızma testleri üç çeşittir.
White Box Penetrasyon Testi
Sızma testi uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki sistemler hakkında bilgi sahibi olur. Bu yaklaşımda, daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar tespit/simüle edilir ve raporlanır.
Black Box Penetrasyon Testi
Bu yaklaşımda, sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece hedef sistemler belirtilir. Bilgi sızdırmak ya da çeşitli zararlar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak, sistemlere verilebilecek zararlar tespit/simüle edilir ve raporlanır. Saldırı yüzeyini doğrudan etkileyebilecek gerçek bir saldırgan bakış açısına yakın olan yöntemdir.
Grey Box Penetrasyon Testi
White Box ve Black Box arası bir test türüdür. Bu yaklaşımda, ağ içerisinde bulunan, uygulamada veya sistemdeki herhangi bir hizmeti kullanan çalışanların, yüklenicilerin, misafirlerin, müşterilerin erişim yetkilerinin değerlendirildiği güvenlik testi türüdür.
Penetrasyon (Sızma) Testi Hizmetlerimiz
Sızma Testi Hizmeti Talep ve Kapsam Belirleme Formu
Birkaç Soruda Penetrasyon (Sızma) Testi
Metodoloji kullanımı sızma testi ekipleri için çok fazla önem taşımaktadır. Çünkü penetrasyon testlerinde daha önceden denenmiş olan ve belirli kalıplarla standartlar haline getirilmiş olan kurallar izlendiğinde sonuçlar üzerindeki başarı oranlara önemli derecede artış gösterecektir. İnternet üzerinde de ücretsiz olarak erişilebilecek farklı güvenlik testi kılavuzları vardır. Bunlardan bazı önemli olanları aşağıdaki gibidir:
- ISSAF (Information Systems Security Assessment Framework)
- OWASP (Open Web Application Security Project)
- OSSTMM (The Open Source Security Testing Methodology Manual)
- NIST SP800-115
Metodoloji konusu göz önünde bulundurularak; penetrasyon testinin ilk adımı bilgi toplamadır. Hedeflenen iç ve/veya dış ağ hakkında aktif ve pasif yöntemler kullanılarak olabildiğince fazla bilgi toplanmalıdır.
Bilgi toplama adımından sonra servis ve kullanıcı inceleme (enumeration) adımı başlar. Bu adımda çalışan servislerin arkasındaki teknolojiler, bu teknolojilerin üreticileri ve versiyonları tespit edilir. Ayrıca ön tanımlı veya tespit edilebilen servis kullanıcıları da bu adımda belirlenir. Tespit edilen kullanıcılar veya ön tanımlı kullanıcılar için varsayılan parolalar denenir, ön tanımlı ve diğer kullanıcılar için parola kırma saldırısı penetrasyon testi proje planı dikkate alınarak planlanabilir ve gerçekleştirilebilir. Bu testlerde parola politikaları da dikkate alınmalıdır. Aksi takdirde hesapların kilitlenmesi operasyonel kesinti ile sonuçlanabilmektedir.
Tespit edilen servisler için koşan yazılımlarla ilgili daha önceden yayınlanmış zafiyetler, açıklık veritabanlarından araştırılır. Bunun için otomatik zafiyet tarama yazılımları mevcuttur. Web teknolojilerinde ise genellikle özel fonksiyonlar ve servisler ile karşılaşılacağından manuel olarak web teknolojilerine özel açıklıkların incelenmesi faydalı olmaktadır.
Tespit edilen zafiyetler için yayınlanmış olan örnek sömürü kodları (exploit) ve testi yapan ekibin geliştirdiği kodlar değerlendirilir. Daha önce de belirtildiği gibi sömürü kodları sistemin bütünlüğünü bozabileceği için gerekli onay süreci işletilerek denenmelidir.
Hedef sistemlere adım atılabildiği durumlarda bir sonraki aşama sistemin tamamen ele geçirilmesi olacaktır. Bu amaçla sisteme eriştikten sonra elde edilen bilgiler değerlendirilir ve sistem üzerinde sömürülebilecek yerel zafiyetler yine açıklık veritabanlarından araştırılır. Bu ek adımlar vasıtasıyla sistem tam olarak ve sistem yöneticisi hakları ile ele geçirilmeye çalışılır.
Son olarak raporlama aşamasında tespit edilen zafiyetler ve bunların giderilme yöntemleri raporlanır. Raporun katma değerinin artırılması amacıyla yönetici özeti kısmının da mutlaka bulunması gereklidir. Ek olarak mimari ve süreçsel açılardan alınması gereken önlemler ve izlenmesi gereken stratejiler de belirtilebilir. Çünkü tespit edilen zafiyetler genellikle bu eksikliklerin semptomları olacaktır.
