Kurumunuzdaki İç ve Dış Erişim Noktalarında Ortaya Çıkabilecek Zafiyetleri Belirlemek İçin Şimdi Kayıt Olun!

SIZMA TESTİ

SIZMA TESTİ

Penatrasyon (Sızma) bir kurumun sahip olduğu bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması olarak tanımlanabilir. Kurum tarafından belirlenmiş bilişim sistemlerine, saldırganların kullandığı yöntemler ile erişim elde edilmeyi amaçlar. Buradaki amaç sistemdeki güvenlik açıklarının bulunmasıyla beraber, yetkili erişimlerin de sağlanmasıdır.

Sızma testi, sadece güvenlik açıklarını ortaya çıkarmakla da kalmaz. Bir kuruluşun BT varlıklarına, verilerine, insanlarına ve fiziksel güvenliğine karşı gerçek dünya saldırı vektörlerini ortaya koymak için bu açıkları kullanmak adına bir sonraki adımın nasıl atılacağına dair rehberlik yapar.

Bu noktada sızma testi ve zafiyet taraması sıkça karıştırılmaktadır. Oysa zafiyet taraması, hedef sistemdeki güvenlik açıklarının taranması ve sonucun raporlanmasından ibarettir. Sızma testi ise sisteme ait güvenlik açıklarının bulunup hedef sistem üzerinde bu açıkların nasıl kullanılarak ele geçirilmesidir ve bu iki aşamayı da raporlar.

Sızma Testi Türleri

Blackbox: Yapı veya sistem hakkında testi gerçekleştirecek uzmana herhangi bir bilgi verilmez. Dış test olarak da bilinmektedir.

Graybox: Yapı veya sistem hakkında testi gerçekleştirecek uzmana minimum bilgi ve yetki verilerek gerçekleştirilir.

Whitebox: Testi gerçekleştirecek uzmana yapı ve sistem hakkında tüm bilgi ve yetkiler verilerek sızma testi gerçekleştirilir.

Sızma Testi Çeşitleri

  • Web Uygulama Testleri
  • İstemci Taraflı Sızma Testleri
  • Network – Ağ Testleri​
  • Veritabanı Testleri​
  • Mobil Uygulama Testleri
  • Sosyal Mühendislik Testleri
  • DDOS Testleri
  • Load (Yük Testleri)

Penetrasyon Testi (Sızma Testi) Metodolojisi

Yapılacak sızma testinde Sızma Testi Yürütme Standardı (PTES)’na göre 7 ana aşamadan oluşmaktadır.

Pre-engagement Interactions: Sızma testinin kapsamının, zamanının, iletişime geçilecek kişilerin ve teste kullanılacak araçların belirlenmesi aşamasıdır.

Intelligence Gathering: Testin yapılacağı kurum hakkında aktif ve pasif bilgi toplanması ve potansiyel sızma noktalarının tespit edilmesi aşamasıdır.

Threat Modeling: Bu aşamada varlıkların tanımları yapılarak kategorileri belirlenir. Potansiyel tehdit ve tehdit toplulukları tanımlanarak, kategorilendirme işlemlerinin yardımıyla kurumun mevcutları ile buna karşı saldırganları odak noktasına alan bir tehdit model örneği oluşturma aşamasıdır.

Vulnerability Analysis: Bilgi toplama aşamasında tespit edilen potansiyel girdi noktalarında bulunabilecek zafiyetlerin tespit edilme aşamasıdır.

Exploitation: Zafiyetlerin sömürülerek hedef sistemin ele geçirilmesi aşamasıdır.

Post Exploitation: Ele geçirilen sistemde kalıcılığın sağlanması, sistemde bulunan bilgilerin kritiklik derecesi ve diğer hedeflerin ele geçirilmesinde kullanılması aşamasıdır.

Reporting: Tespit edilen zafiyetlerin bildirilmesi ve ortadan kaldırılması için gerekli adımların neler olduğunu, bulunan zafiyetlerin kritiklik seviyesinin ve bunların nasıl gerçekleştirileceğinin raporlanması aşamasıdır. Sızma aşamalarında elde edilen bulgular rapor haline getirilir ve kök nedenler ayrıntılı olarak sunulur.

İLETİŞİM FORMU

TETRA HAKKINDA
  • Paragraf görseli

    20 Yıllık Tecrübe

  • Paragraf görseli

    Yüzlerce Farklı Sektörlerde İş Ortağı

  • Paragraf görseli

    ISO 27001 BGYS Ve ISO 27701 KVYS Baş Denetçi Sertifikası Ve Birçoğu ISO 22301 Iş Sürekliliği Baş Denetçi Sertifikası Bulunan

  • Paragraf görseli

    DPO (Data Protection Officer) Sertifikasına Sahip Uzman Danışman Kadrosuyla; CEH, CISSP, OSCP Sertifikasına Sahip Bilgi Güvenliği Uzmanlarıyla Ve Tamamı Alanında Uzman DPO Sertifikalı Hukuk Ekibi Ile Türkiye’nin Her Yerinde Faaliyet Göstermektedir.

  • McAfee
    Cisco
    Juniper
    Aruba ClearPass
    Trend Micro
whatsapp logo