Penetrasyon Testi Nedir?

Kurumların veya Firmaların mevcut bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan siber saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir.

İşlemler sırasında sızma testi uzmanlarımız, tıpkı bir hacker gibi hareket eder ve çeşitli sistemlerin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Bu güvenlik testlerinde, çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.

Kısaca pentest de denilmektedir.

Penetrasyon Testlerinin Çeşitleri

White Box, Black Box ve Grey Box olmak üzere üç çeşittir.

White Box Penetrasyon Testi

Sızma testi uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar simüle ve raporlanır.

Black Box Penetrasyon Testi

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece hedef sistemler belirtilir. Bilgi sızdırmak ya da çeşitli zararlar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak, sistemlere verilebilecek zararlar simüle edilir ve raporlanır.

Grey Box Penetrasyon Testi

White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Grey Box’ta ek olarak düşük yetkilerle sisteme sızma denetimleri gerçekleştirilir.

Detaylı Pentest Raporlama

Özel olarak geliştirilmiş pentest raporlama yapısı ile tam çözüm odaklı

Gelişmiş Zaafiyet Analizi

Özel geliştirilen alt yapıda 7/24 güncel ortaya çıkan zaafiyetler tüm pentest süreçlerinde dahil edilir.

Güvenlik Açıkları Verisi

Cyberinlab’in geliştirdiği ve 7/24 güncel olarak tutulan database ve hiç bir yerde yayınlanmamış güvenlik açıkları verileride test sürecine dahil edilir.

Alanında Lider

Cyberinlab pentest alanında geliştirmiş olduğu yazılım, tespit ettiği güvenlik zaafiyetleri, pentest sonuçlarındaki başarı ile alanında liderliği korumaktadır.

Performans

Pentest süreçlerindeki tüm adımlarda yüksek efor ve düşük network yükü ile %100 başarı oranı

Zamandan Tasarruf

Planlı ve sistemli bir pentest süreci ile sektördeki müşterilemizi hem işlerinin yoğunluğundan hemde zamandan tasarruf sağlamaktadır.

Dış Penetrasyon Testi

Mevcut organizasyon (firma,şirket,kurum vb..) dış dünyadan edinilebilecek bilgilerle gerçekleştirilen test türüdür. Firmanın dış dünyaya bakan arayüzleri test edilir. Bunlar genellikle web sayfaları, web uygulama sunucuları, ağ iletişim cihazları (router ve kablosuz ağ erişim noktaları), güvenlik duvarı, saldırı tespit sistemleri gibi güvenlik sistemleridir. İhtiyaç duyulması halinde, dış ağ testleri belli IP aralığı, belli test tipleri, belli zaman aralığı belirlenerek oluşturulacak detaylı kapsam dâhilinde de gerçekleştirilebilmektedir.

İç Penetrasyon Testi

Localdeki firma içerisindeki mevcut network altyapısı üzerinden gerçekleştirilen bu test Cyberinlab tarafından bir şekilde iç ağa erişmiş bir saldırganın bakış açısı ve özel teknikler ile gerçekleştirilmektedir. Cyberinlab olarak gerçekleştirilen testlerde kapsam belirtilmeksizin veya talebe göre belirli bir kapsam dahilinde gerçekleşebileceği gibi, belirli bir kapsam belirtilmediği sürece testler uzmanı tarafından erişilebilecek her türlü BT varlığı üzerinde de gerçekleştirilebilmektedir.

Cyberinlab olarak bilmenizi isteriz ki, İçten gelen bir saldırı, dış veya dış saldırılara kıyasla çok daha büyük bir hasar verme potansiyeline sahiptir, çünkü bazı koruma sistemleri zaten atlanmıştır ve çoğu durumda içerideki kişi ağın kendisi hakkında bilgi sahibidir. Bu, bulundukları yeri anladığı ve baştan itibaren ne yapacağını bildiği anlamına gelir. Bu, onlara dış tehditler karşısında güçlü bir avantaj sağlar.

Kablosuz (WIreless) Penetrasyon Testi

Kablosuz ağlar genellikle bir bilgisayar korsanları tarafından bir kuruluşun sistemlerine girme noktaları olarak düşünülür. Onların normal olarak denetlenmesi, izlenmesi ve izinsiz nüfusa karşı korunması zordur. Bu nedenle, birçok işletme, kurum ve devlet daireleri üçüncü taraf bir kablosuz ağ güvenlik uzmanının hizmetlerinden faydalanmayı tercih etmektedir.

Farklılıklarımız

Zafiyetlerin ve zayıf noktaların test edilerek ortaya çıkarılması
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.)
Database Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması
DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
Manuel olarak gerçekleştirilen gerçek testler
Kuruma özel hazırlanan raporlar
Yetkinliği kanıtlanmış CISSP, TSE vb. sertifikalı test ekibi
Onlarca pentest tecrübesi

Uluslararası Pentest ve Denetim Standartlarına (OSSTMM, PTES, OWASP, NIST 800-42 vb).uyumlu gerçekleştirilen güvenlik testleri , kurum ve firmaların ISO 27001, PCI-DSS, COBIT, ISO 22301, ITIL vb yasal uyumluluk çalışmalarına da katkı sağlamaktadır.