pentest video

Sızma testi; sistemlerin bilişim altyapılarının güvenliğini değerlendirmek üzere uzman kişilerce gerçekleştirilen, kontrollü bir saldırı simülasyonudur. Amacı, kötü niyetli bir saldırgan bulup istismar etmeden önce sömürülebilir zafiyetleri ortaya çıkarmaktır.

Müşterilerimizin yetki dahilinde vermiş oldukları hedef sistemlerinin fiziki sızma testleri, sosyal mühendislik sızma testleri, wifi sızma testleri, network sızma testleri, yazılım ve uygulama sızma testleri, mobil cihaz sızma testleri, server sızma testleri, ağ cihazları sızma testleri ile yetkisiz kişi sistem özellikleri ve verilerine erişebilme, hasar oluşturabilme ihtimalleri o sistem için özel metodoloji ile 32 yıllık tecrübeli takım liderlerimiz öncülüğünde değerlendirilmektedir.

Sistemler sürekli değiştiği için, yani yeni yetkili tanımlama, yetki sonlandırma, yeni donanım ve yeni yazılım gibi unsurlar durmadan hareket ettiği için, sızma testleri düzenli aralıklarla tekrarlanmalıdır. Düzenli test, korumayı sistemin aylar önceki değil bugünkü gerçek hâline göre hizalar ve mümkün olan en yüksek güvenlik seviyesine ulaşılmasını sağlar.

Ayrıca firmamız KVKK uzmanlarının değerlendirmeleri doğrultusunda müşterilerimizin sistemlerinin KVKK veri saklama süreçleri ince detayları ile raporlanmaktadır.

Sızma testleri üç farklı yöntemle gerçekleştirilmektedir:

Siyah Kutu Yöntemi: Bu yöntemle gerçekleştirilecek testlerde, firma ile sözleşme gereği elde edilen bilgiler haricinde bilgi alışverişi sağlanmaz; tam anlamıyla bir saldırgan (hacker) penceresinden erişim ile oluşabilecek olumsuzluklar analiz edilir. Böylece test, içeriden hiçbir ön bilgi olmaksızın sıfırdan başlar.

Gri Kutu Yöntemi: Bu yöntemle gerçekleştirilecek testlerde, firma sözleşmesi gereği elde edilen bilgilere ek olarak kısıtlı bilgi alışverişi yapılır; sistemin iç yapısında belli yetki veya erişime sahip kişilerin kontrol dışı hareketleri ile sisteme erişimi olmayan kişilerin erişim yolları analiz edilir. Böylece içeriden gelebilecek tehditlerle dışarıdan gelebilecek tehditler aynı test içinde birlikte ele alınır.

Beyaz Kutu Yöntemi: Bu yöntemle gerçekleştirilecek testlerde, firma ile sözleşme gereği elde edilen bilgilere ek olarak sistem ve arka plan bilgileri de paylaşılır; sisteme hâkim olan kişilerin yetki dışı alanlara nasıl ulaşabileceği veya nasıl zarar verebileceği analiz edilir. En kapsamlı koordinasyon ve zaman ihtiyacı duyulan yöntem bu olsa da, geriye en az kör nokta bırakan yöntem de yine budur.

Pentest gerçekleştirilecek hedeflerin erişim lokasyonuna göre iki türü bulunmaktadır ve kapsamlı bir değerlendirme genellikle her ikisini birlikte içerir.

İç Sızma Testleri: İlgili hedefin yerel ağları ve iç sistemleri üzerinden gerçekleştirilen; kötü niyetli bir çalışan ya da ele geçirilmiş bir cihaz gibi, kuruma içeriden ayak basmış bir saldırganı simüle eden testlerdir.

Dış Sızma Testleri: İlgili hedefin web sitesi, serverları ve uygulamaları gibi internete açık varlıkları üzerinden; hiçbir ön erişimi olmayan, tamamen dışarıdan hareket eden bir saldırganı simüle ederek gerçekleştirilen testlerdir.

SIZMA TEST METODLARI

Fiziki Sızma Testi

Ekibimiz, yetkili yöneticilerle planlanan zaman aralığında sistem hedeflerine fiziksel olarak yetkisiz şekilde erişimi test eder. Ortamların fiziki sızma girişimlerine karşı korunaksız olması, birçok dijital saldırıya maruz kalmasına sebep olur; çünkü bir cihaza, porta ya da kabinete ulaşabilen bir saldırgan çoğu zaman en güçlü yazılım savunmalarını dahi aşabilir. Bu testler, dünya genelinde standart kabul edilen araçlarla ve belirli bir planlama dahilinde gerçekleştirilir.

Sosyal Mühendislik Sızma Testi

Ekibimiz, yetkili yöneticilerle planlanan zaman aralığında; bilgisayar, insan ve oltalama yöntemlerini kullanarak yetkili kişilerden bilgi ve hareket alanı elde edebilme ihtimallerini belirler ve raporlar. Böylece farkındalık eğitimlerinin ve iç prosedürlerin nerede güçlendirilmesi gerektiği ortaya çıkar; çünkü en iyi teknoloji bile tek bir ikna edici mesajla etkisiz hâle gelebilir.

Wifi Sızma Testi

Wifi sistemler; hız ve kurulum kolaylığı gibi nedenlerle çok tercih edilen, fakat herkesçe havada fark edilebilen radyo frekansları ile iletişim sağlayan sistemlerdir. Güvenlik zafiyetlerinin önüne geçebilmek için her iki senede bir yeni bir Wi-Fi standardı çıkarılsa da, bu süreçte sistemlerin güvenliğini kontrol altında tutmak kullanıcıların sorumluluğundadır. Tam bu noktada şirketimiz, iç ağa sızıp lisanslı teçhizatımız üzerinde kontrolü ele geçirmek isteyenlerin yapacağı hamleleri test eder ve her erişim noktasını sıkılaştırmaya yönelik somut adımları içeren açık bir güvenlik raporu sunar.

network wifi

Network Sızma Testi

Günümüzde her türlü verinin bilişim kanallarından geçtiğini düşündüğümüzde, bilişimin ana damarının network sistemleri olduğu netlik kazanır. Müşterilerimizin sistemleri için özel olarak planladığımız araç ve programlarla gerçekleştirdiğimiz network sızma testinde; iç lokasyondan belirli bilgilerle yetki dışı erişim test edilirken, dış lokasyondan ise bir hacker gözüyle testler yapılarak en geniş kapsamlı değerlendirme uygulanmış olur. Yeni eklenen cihazların ve konfigürasyon değişikliklerinin sessiz birer giriş noktasına dönüşmemesi için, network sızma testini müşterilerimizin düzenli aralıklarla yaptırmasını öneririz.

Yazılım ve Uygulama Sızma Testi

Müşterilerimizin yazılımsal faaliyetler kapsamında edindiği internet siteleri ve uygulamalar (app); dışarıdan sızılarak müşteri verileri, mali veriler ve kişisel veriler gibi pek çok unsura ulaşılmasına ve kurumsal imajın zedelenmesine yol açabilecek sistemlerdir. Sistemleri tasarlayan programcıların, odak noktaları işlevsellik olduğu için, güvenlik zafiyetleri konusunda siber güvenlik uzmanları kadar bilgi birikimine sahip olması beklenemez. 32 yıllık deneyimi ve uzman kadrosuyla DEF24, sistemlerinizin yazılım ve uygulama sızma testlerini, saldırganların ilk olarak nereye baktığını bilen özel metodlarla gerçekleştirir.

Mobil Cihaz Sızma Testi

Hayatımızın hemen hemen her anında karşımıza çıkan ve oldukça basit bir kullanıma sahip olan akıllı telefon, tablet, akıllı saat, akıllı TV ve e-okuyucu gibi belirli bir işletim sistemine sahip cihazlar, büyük güvenlik zafiyetleri oluşturabilir. En önemli güvenlik önlemi kullanım politikaları olsa da sistemlerde barınan zafiyetler göz ardı edilemez; kurallara uyulmadan yapılan kullanımlar iç sistemlerde ciddi açıklara neden olur. Ortamınıza giren kişisel cihazların güçlü bir savunmanın en zayıf halkasına dönüşmemesi için, müşterilerimizin maksimum güvenliği adına mobil cihaz sızma testleri ayrı bir branş parametresi olarak gerçekleştirilir.

Server Sızma Testi

Günümüzde sistemlerin işleyişinin ve veriminin altyapısını oluşturan server veya benzeri ortak servis sistemleri pek çok şirkette bulunur. Bu serverlar genellikle 7/24 çalışır ve istenilen sayıda kişiye hizmet verir; bu nedenle barındırabilecekleri herhangi bir zafiyetin önemi son derece yüksektir. DEF24, serverları hem iç hem de dış lokasyonlardan test eder ve özellikle dışarıya açık arayüzlere ayrı bir önem verir; çünkü gözden kaçan tek bir zafiyet, tüm işletmenin bağımlı olduğu servisleri tehlikeye atabilir.

Ağ Cihazları Sızma Testi

Genel olarak iç lokasyondan; yazıcı, router, firewall ve switch gibi ağda bulunan cihazların sistem yöneticileriyle iş birliği sağlanarak gerçekleştirilen test hizmetidir. Bu gündelik cihazlar çoğu zaman göz ardı edilir; oysa yanlış yapılandırılmış bir switch ya da güncellenmemiş bir yazıcı, saldırgana ağın derinliklerine açılan sessiz bir yol sunabilir. İşte tam da bu yüzden ayrı bir test edilmeyi hak ederler.