Penetrasyon Testleriyle Güvenlik Açıklarınızı Saptayın
Penetrasyon yani sızma testleri yardımıyla sisteminiz üzerindeki tüm güvenlik açıklarını saptayabilirsiniz. Bu durum izleyeceğiniz güvenlik politikasını belirlemeniz açısından son derece önemlidir.
Penetrasyon testi temel olarak, güvenlik uzmanlarınca tüm altyapınızın hackerların bakış açısından gerçekleştirdikleri saldırılar simule edilmesi yöntemiyle sistem altyapınızda gerçekleşebilecek tüm ihlallerin ortaya çıkarıldığı bir denetimdir. Altyapılardaki bilginin önem derecesine göre, ele geçirilmiş sunucular farklı amaçlarla kullanılabilir.
Risk Girmeden Riskli Noktaları Belirleyin
Başarılı bir saldırı sonucunda gizli belgeler, fiyat listeleri, veri tabanları, kurum sırları ve diğer kritik bilgiler ele geçirilebilir veya değiştirilebilir. Penetrasyon testini bir saldırıdan ayıran en temel özellik test süresince hiçbir zarar görmemenizdir. Birçok durumda penetrasyon testini yapan kişiye kullanıcı düzeyinde erişim izni verilir. Bu durumlarda amaç hesabın durumunu veya kullanıcı düzeyine sahip kişinin erişmemesi gereken ek bilgilere başka yollarla bir kullanıcının erişip erişmediğini denetlemektir.
Penetrasyon Testinde VISMATECH Farkı: Uzmanlık + %100 Manuel Test Uygulaması
Penetrasyon testleri çeşitli gruplara ayrılır. VISMATECH sizin için gerekli olan testleri belirleyip, uluslararası standartlarda uygulayarak kurumsal siber güvenliğiniz için ilk önemli adımı atar. Manuel test protokolleri test başarısını yukarı çeker. VISMATECH penetrasyon testlerini %100 manuel gerçekleştirir.
Penetrasyon testinde uzman yetkinliği kritik önem taşır. VISMATECH’de uzmanlar bu alanda en yüksek yetkinlik olan OSCP sertifikası sahibidir.
VISMATECH’in uyguladığı Pentest Türleri
VISMATECH zafiyetlerinizi ve açıklarınızı belirlemek için sisteminizin bileşenlerine özgü penetrasyon testlerine tabi tutar.
*Dış Penetrasyon Testi (Black Box):
VISMATECH bu adımda tarafınızdan hiçbir teknik veya yönetimsel bilgi talep edilmez. Gerekli bütün aktif-pasif araştırma, dokümanlama ve keşif sürecini tamamlar; hacker gibi düşünerek, hacker gibi yaklaşarak, sisteminizi dışarıdan test eder. Sonrasında kurumunuza yönetimsel ve teknik olarak iki farklı rapor sunulur.
*İç Penetrasyon Testi (White Box):
Black Box testi’ni takiben White Box süreci başlar. White Box firmanızın iç ağından yürütülen test sürecidir. Bu testi yaparken birçok bilgiye sahip olunur. VISMATECH test uzmanları duruma göre farklı senaryolar uygulayarak saldırıları gerçekleştirir ve testi tamamlar. Test sonrasında da kurumunuza yönetimsel ve teknik olarak iki farklı rapor sunulur.
*Doğrulama Testi (Check Box):
Gerçekleştirilen iki testin 1-2 ay sonrasında (talebinize bağlı olarak) bulunan güvenlik açıklarının kapatılıp kapatılmadığını kontrol etmek, yeni oluşan kritik bir zafiyetin var olup olmadığını tespit etmek ve önceki testler ile sunduğumuz raporlar sonrasında ortaya koyduğumuz güvenlik politikalarının uygulanıp uygulanmadığını görmek için üçüncü bir doğrulama testi gerçekleştirilir.
*Web Uygulaması Penetrasyon (Sızma) Testi:
Web uygulamaları OSI katmanlarının yedinci katmanında bulunmaktadır, bu katmanda birçok yazılım dili ve altyapı bulunur. Bu dillerde birçok saldırı vektörü vardır ancak bu katmanın en büyük problemi her bilgi düzeyinden yazılımcının bu katmanda çalışmasıdır. Web yazılımları Türkiye’de halen ‘yazılım çalışıyor mu çalışmıyor mu’ olarak denetlenmekte ve yeterli denetimler yapılmadan internetten ulaşılabilir hale gelmektedir.
Web yazılımlarının temelde otuz iki saldırı vektörü bulunur. Ancak, birbirleri arasında korelasyonları ve alt kırımları sonucu denetlenmesi gereken binlerce senaryo oluşur. Şirketinizin dünyaya açılan kurumsal yüzü olan web siteniz, firma kalitenizi ve konsolide teknoloji bağlılığınızı gösterip prestijinizi arttıran yüzünüz ise web-online uygulamalarınızdır. Web siteleri üzerinde sürekli geliştirme ve yeniden kodlama çalışması yaptırmak çok maliyetli ve zahmetli bir çalışma gerektirdiği için, web sitenizin ve online uygulamanızın stabil güvenliği için en çok önerilen yöntem web uygulamaları sızma (Penetrasyon) testidir.
Penetrasyon testi zafiyetleri nokta tespiti yaparak bulduğu için, sorun odaklı çözümler üretir ve böylelikle hem zaman kazanmış, hem de tasarruf etmiş olursunuz. VISMATECH, web uygulamaları Penetrasyon testinde kritik pozlama yaparak pozitif sömürülebilir uygulama zafiyetlerini görmenizi sağlar. Size bunlarla ilgili en etkin çözüm önerilerini sunar. VISMATECH mühendisleri web uygulamaları sızma testlerinde Open Web Application Security Project (OWASP) PenTest metodolojilerini kullanır.
*Mobil Uygulama Penetrasyon (Sızma) Testi:
Gelişen dünyanın yeni trendi halini alan mobil uygulamalar, web uygulamaları gibi farklı yazılım dilleri ve altyapıları ile geliştirilmektedir. Mobil uygulamalar üzerinde yapılan testler öncelikli olarak yazılım dilinin ve altyapısının kronikleşmiş zafiyetlerinin denetimi ile başlamaktadır. Uygulamanın süreçler esnasında kullandığı verilerin barındırıldığı yer, saklanma formatı gibi detayların da incelendiği bu test kapsamında veri kaynağı sunucu ile olan trafiği de denetlenmektedir. Uygulamaların hangi sunucular ile iletişim halinde oldukları, bu sunuculara hangi verilerin yollandığı hangi verilerin alındığı ve veri transferi esnasında kullanılan protokoller incelenerek bu noktalardan kaynaklanan zafiyetler test edilmektedir. Teste dâhil olarak yazılım üzerinde bulunan mimarisel hatalar ile birlikte alınan verinin hangi aşamada nasıl işlendiği ve kullanıldığı da incelenir.
*Kablosuz Ağ Penetrasyon Testi:
Test kapsamında öncelikli olarak altyapının yaklaşımından kaynaklı riskler değerlendirilir. Bu riskler kullanılmış teknolojinin çalışma yapısından kaynaklanan risklerdir. Çalışma saldırı formasyonu alması ile birlikte tüm sinyal trafiği dinlenir, kullanılan çözüm ile doğru orantılı saldırı vektörleri bu noktada başlar. Örneğin, WEP/WPA/WPA2 şifreleme algoritması ile çalıştırılmakta olan bir kablosuz ağda şifre yakalanmaya çalışılır ve bu şifrenin kırılması denenir. Uygulamanın web base giriş kontrolü yapması halinde web uygulaması da penetre edilerek buradan oluşabilecek zafiyetler de teste dahil edilir. Bu çalışmalar ile birlikte ağ dağıtıcılarının konumlandırılma şekilleri de dahil olmak üzere tüm çözüm değerlendirilir.
*VOIP Penetrasyon Testi :
- VOIP Servis Durdurma Saldırısı
- Ses Datalarının Dinlenmesi
- Mesaj Servisinin Manipülasyonu
- VOIP Spam
- VOIP-to-Data Exploit
- Servis-Entegrasyon-Data Yönetimi Hizmetlerinin Kalitesizleştirilmesi (Bozuntuya Uğratılması)
- Call Hijacking
- ARP Poisoning
- Ses Datası Ekleme
- Sahte Telefon Kaydı Yaratılması
- Kayıtlı Dataların Tahribatı
- Görüşmelerin İzinsiz Anlık Dış Yayın Yapılması
- CDP Poisoning
- Interception MITM Saldırısı
- Data Bütünlüğünün Deformasyonu
- Kimlik ve Yetki Çalınma Saldırısı
- SIP Spoofing
- SIP Exploitation
- RTP Bypass
- VOIP Client Cihazlarının Manipülasyonu
- VOIP Segmentasyon Sorunu Tespiti
- VOIP Segregasyon Denetimi
- VLAN Üzerinden Yetki Yükseltme
- VLAN Hopping
- Sistemleri ve uygulamaları güvende tutmanın birçok yolu olmasına rağmen, gerçekte ne kadar güvende olduğunuzu bilmenin tek yolu; penetrasyon testlerinin manuel olarak ve düzenli aralıklarla yapılmasıdır.
- Penetrasyon testi ve zafiyet değerlendirmesi her zaman için karıştırılan kavramlardır. Bu iki kavram birbirleriyle ilişkilidir, ancak zafiyet değerlendirmesi sistem saldırısına karşı savunmasız olan alanları tespit edilmesine önem verirken, penetrasyon testi mümkün olan her yoldan erişim elde etmeye odaklanır.
- Sistemlerini ikinci bir gözün kontrol etmesi önemli bir güvenlik uygulamasıdır. Yeni bir sistemin faaliyete geçmeden önce test edilmesi önemlidir. Fakat en önemlisi güvenlik açıklarının bulunması ve sisteme saldırı olmadan önce bunların düzeltilmesidir.
- Penetrasyon testi raporu; özet, IP adresi ve acil olarak düzeltilmesi gereken sorun gibi, yüksek seviyede işletimsel detayları kapsayan yönetim özeti, belirli sonuçları ve iyileştirme önerileri sunulan teknik özet bölümlerini içerir.
VISMATECH uzun yıllardır gerçekleştirdiği çok sayıdaki manuel Pentest deneyimiyle, alanında en yetkin sertifikalara sahip test uzmanlarınca uygulanan ayrıntılı testleriyle sisteminizin açıklarını ve konfigürasyon hatalarını net olarak saptar.