Penetrasyon (Sızma) Test Hizmeti
Dijital dünyada “Güvenli Olan” tek sistem henüz fişi prize takılmamış olandır!
BT güvenliği söz konusu olduğunda, özellikle güvenlik zafiyetleri hiç beklenmedik anda ve hiç umulmayan yerlerden büyük sorunlara yol açabilir. Özellikle, bilişim sistemi güvenliği söz konusu olduğunda veri ve genel sistem güvenliği, kötü niyetli birçok kişi / yazılım veya grubun hedefindedir.
Aryom Yazılım ve Yüksek Teknoloji A.Ş. bünyesinde hizmet veren DGRNET ekibi, alanında uzman sistem mühendisi ve yazılım geliştirme uzmanından oluşturmaktır.
Hizmet verdiğimiz alanlardan biri olan Penetrasyon testi veya bir diğer bilinen adıyla sistem sızma testi; ekibimizde yer alan uzmanlar tarafından bilişim sisteminde var olan zafiyet, açık veya kritik hataları tespit etmek amacındadır.
Bilgi Teknolojileri alanında; danışmanlık, eğitim ve denetim hizmetleri veren DGRNET, sistem güvenliği ve bilişim sistemlerinin sağlıklı ve sorunsuz sürdürülebilir faaliyetleri için oldukça önemli olan penetrasyon testi işlemlerini, ulusal ve uluslararası yetkinlik sertifikalarına (CISA, CISSP, CISM, CRISC, CGEIT, CEH, PCI-DSS, ITIL, COBIT, ISO27001 LA, ISO27701 LA ) uzman bir ekiple yapmaktadır.
Pentest işlemlerin tümü uluslararası The Information System Security Assessment Framework (ISSAF) kapsamında başlar ve yürütülerek sonuçlandırılır.
Pentest esnasında, kullandığımız tüm yazılımlar bilgi iletişim güvenliği test ve analiz standartlarına uygun, lisanslı ve global geçerliliktedir.
ARYOM, çözüm ortaklığında sabit paketleri ve standart sınırları tercih etmediği için tüm şirket, marka ve kurumlara özel çözümler benimsemiştir.
Söz konusu Bilgi Güvenliği ve Bilişim Teknolojileri olduğunda, hizmet kapsamını detaylı görüşmeler sonrasında var olan sorunlar ve çözümlerine yönelik tüm yol haritasını belirleyerek şekillendiriyoruz.
Penetrasyon Testi (Pentest) Nedir?
Penetrasyon testi (Pentest), şirketlerin ve kurumların bilgi sistemlerinin güvenlik açıklarını belirlemek ve bu açıkların kötü niyetli saldırganlar tarafından nasıl sömürülebileceğini anlamak için yapılan kapsamlı bir güvenlik testidir. Bu testler genellikle dışardan bir saldırganın bakış açısını simüle ederek gerçekleştirilir.
Pentest, bir organizasyonun bilgi güvenliği stratejisinin kritik bir parçasıdır çünkü saldırganların keşfedeceği zayıf noktaları önceden belirleyerek gerekli düzeltici önlemlerin alınmasına olanak tanır. Bu testler, ağ altyapılarından uygulama yazılımlarına, kullanıcı davranışlarından fiziksel güvenliğe kadar geniş bir yelpazeye yayılabilir.
Penetrasyon Testi (Pentest) Yöntemleri
Black Box Penetration Test (Kara Kutu Testi)
Tanım: Bu test türünde, penetrasyon testi uzmanına hedef sistem veya ağ hakkında herhangi bir önceden bilgi verilmez. Test uzmanı, bir dış saldırgan gibi yalnızca halka açık bilgiler ve teknikleri kullanarak saldırı gerçekleştirir.
Amaç: Sistemdeki gerçek dünya saldırı risklerini simüle etmek ve savunma mekanizmalarının ne kadar etkili olduğunu değerlendirmek.
White Box Penetration Test (Beyaz Kutu Testi)
Tanım: Bu test türünde, penetrasyon testi uzmanı hedef sistem veya ağ hakkında tam bilgiye sahiptir. Bu bilgiler genellikle sistem mimarisi, ağ yapılandırması, güvenlik düzenlemeleri ve mevcut savunma mekanizmalarını içerir.
Amaç: Sistemdeki zayıf noktaları tam olarak belirlemek ve potansiyel saldırı vektörlerini tespit ederek iyileştirme önerileri sunmak.
Grey Box Penetration Test (Gri Kutu Testi)
Tanım: Gri kutu testi, black box ve white box testlerinin ortasında bir yaklaşımı temsil eder. Penetrasyon testi uzmanına sınırlı bir içeriden bilgi sağlanır; yani genellikle bir kullanıcı veya düşük düzeyde yetkilendirilmiş bir gözlemci olarak sistemi veya ağı gözlemleme yetkisi verilir.
Amaç: Daha gerçekçi bir saldırı senaryosu oluşturarak hem içeriden hem de dışarıdan bir saldırganın firma sistemlerine erişimini simüle etmek.
Penetrasyon Süreci
Bilgi Toplama (Reconnaissance): Hedef sistemler hakkında mümkün olan her türlü bilgi toplanır. Bu, hedeflerin IP adreslerini, kullanılan teknolojileri, sistem konfigürasyonlarını ve potansiyel zayıf noktaları içerir.
Zafiyet Keşfi (Vulnerability Assessment): Toplanan bilgiler kullanılarak hedef sistemlerdeki potansiyel güvenlik açıkları ve zayıf noktalar tespit edilir. Bu adım genellikle otomatik araçlar ve manuel incelemelerle gerçekleştirilir.
Saldırı (Exploitation): Tespit edilen güvenlik açıkları üzerinde gerçek saldırılar simüle edilir. Bu adımda, açıkları kullanarak sistemlere erişim sağlamak ve yetkilendirilmemiş ayrıcalıklar elde etmek gibi işlemler gerçekleştirilir.
Yetkilendirme (Authorization): Pentest sırasında gerçekleştirilen her türlü saldırı ve testin yasal ve etik çerçeveler içinde yapılmasını sağlamak için önceden belirlenmiş yetkilendirme ve izinlerin varlığı önemlidir.
Raporlama ve Öneriler (Reporting and Recommendations): Pentest sonuçları detaylı bir rapor halinde sunulur. Bu rapor, tespit edilen güvenlik açıkları, bu açıkların potansiyel riskleri ve düzeltici önlemlerle ilgili öneriler içerir.
Bir pentestin süresi genellikle birkaç faktöre bağlıdır ve değişkenlik gösterebilir. Bu faktörler arasında:
Kapsam: Pentestin yapılacağı sistemlerin ve ağların büyüklüğü ve karmaşıklığı.
Hedefler: Pentestin amacı ve detaylı test edilmesi gereken alanların belirlenmesi.
Test Yöntemleri: Otomatik tarama araçları ve manuel testlerin kullanılma oranı.
Raporlama ve Analiz: Tespit edilen güvenlik açıklarının detaylı bir şekilde incelenmesi ve raporlanması.
Genel olarak, küçük ölçekli bir pentest birkaç gün içinde tamamlanabilirken, büyük bir organizasyon veya karmaşık ağ altyapıları için pentest süresi birkaç haftayı bulabilir. Özellikle manuel testlerin yoğun bir şekilde yapıldığı kapsamlı pentestler daha uzun sürebilir.
Pentest Sonrası Destek
Detaylı Raporlama ve Analiz: Tespit edilen güvenlik açıkları hakkında detaylı raporlar sunarak, müşterilerimize açıkların nedenlerini, etkilerini ve potansiyel riskleri anlatıyoruz.
Düzeltici Önlemler ve Danışmanlık: Müşterilerimize zayıf noktaları gidermek için teknik danışmanlık sağlıyor, güvenlik ayarlarını iyileştirmeleri veya güvenlik yamaları uygulamaları konusunda destek oluyoruz.
Yeniden Test ve Doğrulama: Müşterilerimizin uyguladıkları düzeltici önlemlerin etkinliğini doğrulamak için yeniden pentest yapıyoruz.
Güvenlik Eğitimleri ve Farkındalık Programları: Personellerinin güvenlik bilincini artırmak için eğitimler düzenliyor, güvenlik en iyi uygulamaları konusunda bilinçlendirme sağlıyoruz.
Sürekli Güvenlik İyileştirme Danışmanlığı: Müşterilerimize sürekli güvenlik iyileştirmeleri ve güncel güvenlik tehditlerine karşı koruma stratejileri geliştirme konusunda danışmanlık sağlıyoruz.
Olay Yanıtı ve Müdahale: Güvenlik olayları veya ihlalleri durumunda müşterilerimize hızlı ve etkili bir şekilde yanıt vermek için planlama yapıyor ve acil durum planları oluşturuyoruz.
Pentest Araçları
Lisans Gerektirmeyen Araçlar
Nmap: Ağ taraması yapmak ve hedef sistemlerdeki açık portları keşfetmek için kullanılır.
Wireshark: Ağ trafiğini izlemek, paketleri analiz etmek ve ağ üzerindeki iletişimi incelemek için kullanılır.
OpenVAS: Ağ ve uygulama düzeyinde zayıf nokta taraması yapmak için kullanılan açık kaynaklı bir güvenlik tarayıcısıdır.
Aircrack-ng: Kablosuz ağları test etmek, WEP ve WPA/WPA2 şifrelerini kırmak için kullanılan bir araç setidir.
John the Ripper: Parola kırma ve parola güvenliği testi yapmak için kullanılan bir parola kırma aracıdır.
SQLMap: SQL enjeksiyon saldırılarını otomatize etmek ve veritabanı sistemlerindeki güvenlik açıklarını tespit etmek için kullanılır.
Hashcat: Hash tabanlı parolaları kırmak için kullanılan güçlü bir parola kırma aracıdır.
Lisans Gerektiren Araçlar
Nessus: Ağ zayıf nokta taraması ve güvenlik açığı tespiti için kullanılan bir güvenlik tarayıcıdır.
Burp Suite: Web uygulamalarını test etmek ve güvenlik açıkları bulmak için kullanılan kapsamlı bir araç setidir. Proxy, tarayıcılar arası istekler, site haritalama ve zayıf nokta tespiti gibi özellikler sunar.
Invicti: Web uygulamaları için otomatize edilmiş bir güvenlik tarayıcısıdır. Invicti, web uygulamalarındaki güvenlik açıklarını tespit etmek ve raporlamak için kullanılan güçlü bir araçtır