Zaafiyet Tarama ve Sızma Testi Hizmetleri

Pandemi  nedeniyle uzaktan çalışma, siber saldırganlar için bir çok yeni fırsatlar yarattı. Bu yüzden birçok şirket güvenlik sistemlerini bizimle güçlendirdi. Sizi de bu büyük aileye siber güvenliğiniz için bekliyoruz. 

Sızma testi veya pentest, kapsamı belirlenmiş bilişim sistemlerine mümkün olabilecek ve müşteri tarafından onayı verilmiş her yolun denenerek sızılmaya çalışılması işlemidir. Sızma testleri, şirket içerisindeki bilgi teknoloji elemanları ve kişiler için en önemli zaafiyet belirleme yöntemlerinden birisidir. Sızma testlerinde amaç, güvenlik açıklığını bulmanın yanısıra, bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmek ve elde edilen erişimleri kullanılarak tüm zafiyetlerin ortaya çıkarılmasıdır.

Günümüzde artan bilgi teknolojileri kullanımı sayesinde bilgi güvenliği en kritik konulardan biri haline gelmiştir. Son yıllarda gerek çeşitli standartlara ve yasal mevzuatlara uyumluluktan gerekse güvenliğe verilen önemin artmasından dolayı sızma testlerine önem ve talep artış göstermiştir. Ancak sızma testlerinin önemli olması kadar faydalı olması içinde doğru bir şekilde ve düzenli olarak yapılması gerekmektedir.

CERTBY olarak, sistemlerinizin güvenliğinin test edilmesi için sizlere sızma testi hizmetleri sunmaktayız.

Sızma testi (pentest) kapsamında uyguladığımız testler aşağıda sunulmuştur…

Saldırganların iç ağa erişmeleri ve gerçekleştirebilecekleri olası siber saldırıları önleme amacıyla kurumun iç ağ yapısında bulunan cihazlarda uygulanan tarama çeşididir. Ağda bulunan bu cihazların başlıcaları sunucu, istemciler ve diğer ağ elemanlarıdır. Tarama yapılacak olan kuruma yerinde hizmet verilerek ya da VPN ile uzaktan erişim bağlantıları ile gerçekleştirilebilir.

Kurumun ağı içinde yer alan sunucularda ve istemcilerde çalıştırılan işletim sistemleri, yazılımlar, sürücüler ve cihaz konfigürasyonları gibi sistemlerden kaynaklanan açıklıkların taraması işlemidir. Ağa yetkisiz girişimlerin var olup olamayacağı kontrolü sağlanır, bu durumlar raporlanır. Burada uygulanan testler internet üzerinden gerçekleştirilir ve sistemi durdurmaya sebebiyet verilmez. Bu kapsamda üç farklı test türü mevcuttur:

  • Kara Kutu Testi: Güvenlik sistemleri üzerinde herhangi bir izin verilmeden ve sistemler hakkında kapsam haricinde detay bilgi verilmeden gerçekleştirilen testlerdir.
  • Beyaz Kutu Testi: Güvenlik sistemleri üzerinden test yapacak IP adreslerine izin verilerek ve sistemler hakkında detaylı bilgi sağlanarak gerçekleştirilecek testlerdir.
  • Gri Kutu Testi: Bu tür testler kara kutu ve beyaz kutu karışımı testleri ifade eder. Genel olarak kısıtlı yetkiye sahip kullanıcıların sistem üzerinde yapabilecekleri tespit edilmeye çalışılır.

Kurumun kapsamı dahilindeki web uygulamalarının farklı kullanıcı profilleriyle zafiyetlerin tespiti, manuel yöntemlerle denenmesi, analiz edilmesi, bulgu ve çözüm önerilerinin raporlanmasıdır.

Organizasyonların kullandıkları ya da kullanma aşamasında oldukları web uygulamaları üzerinde, kapsam dahilinde belirlenen sayıda kullanıcı davranışlarının, gerçek bir senaryoya bağlı olarak uygulanması sonucunda, söz konusu uygulamanın performans ve erişilebilirliğine etki edebilecek tüm bilgi sistemlerinin test edilmesidir.

Kuruluş kapsamı dahilindeki mobil uygulamalarının farklı kullanıcı profilleriyle zafiyetlerin tespiti, manuel yöntemlerle denenmesi, analiz edilmesi, bulgu ve çözüm önerilerinin raporlanmasıdır. Talep edilmesi halinde sizler güvenlik açıklarını kapattıktan sonra tekrar doğrulama testi de yapılabilir.

Kurumunuza internet üzerinden gelebilecek tüm DDoS atak tiplerine karşı testler gerçekleştirilmekte ve sistemlerinizi gelebilecek DDoS saldırılarına karşı izlenmekte, durumunun raporlaması yapılmaktadır. DDoS saldırılarını engellemek için açık kaynak kodlu ve ticari ürünler kullanılmalı, gerekli altyapı kurulmalıdır.
Açıklığın analiz edilmesi durumunda tarafımızca test edilen uygun ürünler tavsiye edilir ve açıklığı ortadan kaldırmak üzerine çalışma başlatılır.

Saldırganların insan zafiyetlerinden faydalanarak çeşitli ikna ve aldatmaca yöntemleriyle istedikleri bilgileri elde etme üzerine düzenledikleri saldırılardır. Kurum içindeki personellerin bilgi güvenliği farkındalığı eksikliği bu saldırılara zemin hazırlamaktadır.

Saldırganlar bu yöntemleri genellikle telefon, e-posta vb. gibi yüz yüze olmayan iletişim kanalları ile uygularlar. Bu tarz açıklıkları tespit için kurumda bir saldırı senaryosu simülasyonu gerçekleştirilir ve durumlar raporlanır.

Kurumda bulunan Firewall tarzı ürünler Güvenlik Duvarı Testleri kapsamında test edilirler ve konfigürasyonları incelenir. Olası saldırılara ve zararlı yazılımlara karşı en büyük engelleme güvenlik duvarlarından beklenmektedir. Test edilen donanım ve yazılımlar üzerindeki analizler sonrası güvenlik duvarında kritik açıklıklar ve yanlış konfigürasyon adımları var ise tespit edilir. Tespit edilen sonuçlar raporlanır.

İçerik filtreleme kullanılarak internet ağınızda bulunan zararlı içeriklerden korunabilirsiniz. Taranan web siteleri için girdi kuralları kontrol edilir, belirlenen kuralların zararlı içerikleri ne derecede engellendiği test edilir. Elde edilen sonuçlar raporlanır.

DNS Servis Testleri kapsamında host üzerinde name serverların tanımlı olduğu alanda değişiklik yapılmasını sağlayan DNS Hijacking veya yanlış IP adreslerinin yanlış yönlendirilmesine yol açacak DNS Spoofing gibi DNS üzerinden gerçekleşebilecek olası saldırıların tespiti yapılır. Ortaya çıkan sonuçlar raporlanır.

E-posta istemcilerinde ve web e-posta sistemlerinde zafiyet taramasını kapsayan test türüdür. E-posta protokol servisleri her zaman Spam ya da Spoofing (kimlik taklitçiliği) için kontrol ve koruma sağlamayabilir. Kurum içine, kurum içinden ve dışından gelen e-postalar, kurum dışına kurum içinden giden tüm e-postalar ve sıkılaştırmaları kontrol edilir.

Kablosuz ağlar; desteklediği protokollerden ve kullanıcı bilinçsizliklerinden kaynaklı riskleri barındırabilirler. Saldırganlar ağ üzerindeki açıklıklar sebebiyle trafiği dinleyebilir ve hatta kullanılan şifreleme protokolleri için şifre kırma yöntemleri kullanabilirler. Bu tarz saldırılara yönelik kurumun kablosuz ağları üzerinde keşif ve analiz yapılır. Bu keşifler kullandığımız tarama araçları ile gerçekleştirilir ve durumlar raporlanır.

Yapılandırma öğelerinin özellikleri ile yapılandırma öğelerinin ilişkilerini kayıt altına almada kullanılan veri tabanı üzerinde tarama yapılır. Veri tabanına yapılacak olası saldırılara karşı veri tabanı yapılandırmasında bir hata olup olmadığı tespit edilir. Ayrıca prosedürler, tablo yapıları ve veritabanı tasarımları da incelenir. Sonuçlar tavsiyelerle birlikte raporlanır.

Kaynak kodlarının otomatik bir araçla ve manuel gözlem ile incelenerek zafiyet oluşturabilecek yapısal ve mantıksal hataların belirlenmesi ve raporlanması işidir.

  • Etki alanı yapılandırma testleri
  • Son kullanıcı bilgisayar Sızma Güvenlik Denetimi
  • SCADA güvenlik testleri
  • Sanallaştırma sistemleri testleri
  • Mimari Güvenlik Analizi

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz edin, belli bir süreden sonra bazı şeylerin gözünüzden kaçma ihtimali artmaktadır. Bu yüzden profesyonel bir ekibe yaptırılacak sızma testleri, dışarıdan işletmenize gelebilecek tehditlerin büyük bir kısmını ortaya çıkarıp kapatılmasını sağlayacaktır.