PENETRASYON TESTİ NEDİR?

Penetrasyon testi, bilinen kısa adıyla Pentest;

Firmaların bilişim sistemlerini oluşturan altyapı ağlarını dışarıdan gelecek saldırı ve sızıntılara karşı, iç kullanıcılardaki açıklıklar ve varsa zafiyetlerin ve güvenlik açıklarını tespit etmek üzere yapılan simülasyon şeklinde uygulanan deneme testleridir.

PENETRASYON TESTİ ÇEŞİTLERİ NELERDİR?

Penetrasyon testi olarak 3 farklı test yönetimi ve sektöre özel paketlileri barındıran birbirinden faklı hizmetlerdir.

1 - WHİTE BOX (BEYAZ KUTU) PENETRASYON TESTİ

Firma içinde yetkili kişilerden altyapı ile ilgili tüm bilgileri alır kullanılan tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dâhil olan kişilerin sistemlere verebilecekleri zararlar test edilir ve raporlanır.

Testin Kapsamı

•             Dış IP Adresleri, DNS kayıtları, MX kayıtları ve ADSL, XDSL, GHDSL hatları zafiyetlerinin taranması

•             Local ağ ve VLAN’lar üzerindeki tüm aktif cihazlar ve kullanıcı bilgisayarlarının zafiyet taraması

•             Local Ağ ve VLAN’lar üzerindeki tüm fiziki ve sanal sunucuların zafiyet taraması

ISO 27001 standarttı için zafiyetlerin taranmasını sağlayan testtir.

1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,

Tarama Süresi                      : 2 Gün

Atak Testleri                         : 1 Gün

Raporlama                            : 1 Gün

Öneri + Raporlama              : 5 Gün  ( Opsiyonel Hizmet )

 

2 - BLACK BOX (SİYAH KUTU) PENETRASYON TESTİ

Bu penetrasyon testinde firmanın sitemlerine sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece test edilecek hedef verilir. Bilgi sızdırmak ya da zarar vermek amacıyla sisteme girmeye çalışan bir hacker gibi davranılarak, gerçekte verilebilecek zararlar belirlenir ve raporlanır.

Testin Kapsamı

•             Dış IP Adresleri, DNS kayıtları, MX kayıtları ve zafiyetlerinin taranması

•             Dışa açık uygulamaların ( Tüm web Tabanlı uygulama ve servisler ) zafiyet taraması

•             Dış IP blokları üzerinden IPS, IDS, Firewall, Router ve ADSL, XDSL, GHDSL hatları üzerinden uygulanan zafiyet taraması

ISO 22301 için zafiyetlerin taranmasını sağlayan testlerden birsi.

16 Adet dış IP bloğuna sahip bir sistem için,

Tarama Süresi                      : 3 Gün

Atak Testleri                         : 2 Gün

Raporlama                            : 0,5 Gün

Öneri + Raporlama              : 3 Gün  ( Opsiyonel Hizmet )

 

 

 

 

3 - GRAY BOX (GRİ KUTU) PENETRASYON TESTİ

White Box ile Black Box testlerini kapsayan büyük sızma testidir. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Gray Box testinde ek olarak Sosyal Mühendislik Saldırıları, Kablosuz Ağ Saldırıları, Phishing mail de eklenmektedir.

ISO 27001, ISO 22301 için tüm yeterliliği sağlayan testtir.

1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,

Tarama Süresi                      : 4 Gün

Atak Testleri                         : 2 Gün

Raporlama                            : 1 Gün

Öneri + Raporlama              : 7 Gün  ( Opsiyonel Hizmet )

 

 

SEKTÖRE ÖZEL TESTLER

A ) FİRMA İÇİ DATACENTER PENETRASYON TESTİ

White Box ile Black Box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar ve kenar uç nokta cihazları ile bağlantılarına stres testi de yapılır.

ISO 27001, ISO 22301, ISO20000-1 için tüm yeterliliği sağlayan testtir.

1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,

Tarama Süresi                      : 3 Gün

Atak Testleri                         : 2 Gün

Raporlama                            : 1 Gün

Öneri + Raporlama              : 6 Gün  ( Opsiyonel Hizmet )

 

B ) YAZILIM GELİŞTİRME FİRMALARINDA PENETRASYON TESTİ

White Box ile Black Box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar, kenar uç nokta cihazlar, Kod Güvenliği Testi ( Git-TFS vb. Servisler Dahil ), Cloud servisler ve Müşteri link bağlantıları testi de yapılır.

ISO 27001, ISO 22301, ISO20000-1, COBIT için tüm yeterliliği sağlayan testtir.

1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip, 6 kişi ve daha altı yazılım geliştirme personeline sahip bir sistem için,

Tarama Süresi                      : 4 Gün

Atak Testleri                         : 1 Gün

Raporlama                            : 2 Gün

Öneri + Raporlama              : 8 Gün  ( Opsiyonel Hizmet )

 

 

• Kod Güvenliği testi: Kod güvenliği testi yazılım ekibi içerisinde paylaşılan kaynak kodun işlendiği bilgisayarlarda uygulanan özel bir testtir. Sadece kaynak kod geliştirilen bilgisayarların her birine ayrı ayrı uygulanır.
• Cloud Testi: Hizmet satına alınan yada sürekli bağlantı sağlanan servislere kurulan tüm bağlantıların veri analizi ve bağlantı güveliği analizinden oluşur.

 

D ) 6698 Kişisel Verilerin Korunması Kanunu Uyarınca PENETRASYON TESTİ

White box testlerini kapsar. Hem içeriden hem dışarıdan tehditler için yapılan testtir. Ek olarak tüm aktif cihazlar, kenar uç nokta cihazlar, Kişisel veri analizi, Veri Sınıflandırma ve Etiketleme Analizi, Kişisel veri alanlarının Erişim ve Yetkilendirme analizi, Kişisel veri alanlarının güvenlik zafiyet taraması, Kullanılan yazılımların uygunluk ve Veri analizi testlerini içerir.

ISO 27001, ISO 22301, KVKK uyumluluğunun gereksinimlerinin de zafiyetlerinin taranmasını sağlayan testtir.

Hastahane, Otel, İnsan Kaynakları Danışmanlık Şirketleri, İnsan Taşımacılığı Sağlayan şirketler ve Acenteler, Sigortacılık Şirketleri vb. Kişisel veri barındıran ve işleyen şirketler için kanun gereği yapılması önerilen testleri kapsar.   

1 adet C Class ( /24 ) IP bloğu VLAN ayrımı olmadan ve 8 Adet dış IP bloğuna sahip bir sistem için,

Tarama Süresi                      : 5 Gün

Atak Testleri                         : 3 Gün

Raporlama                            : 3 Gün

Öneri + Raporlama              : 10 Gün  ( Opsiyonel Hizmet )

 

 

PENETRASYON TESTİ AŞAMALARI NELERDİR?

1. Adım: Bilgi Toplama

Bilgi toplama sırasında sızma testi yapılacak sistem üzerinde aktif bir tarama yapılmaz. Bu aşama sadece pasif şekilde bilgi toplama aşamasıdır.

2. Adım: Tarama ve Sınıflandırma

Tarama ve sınıflandırma adımında ilk aşamada toplanan bilgilere bağlı olarak, test yapılacak sistem üzerinde ‘’tarama’’ işlemi yapılır ve analiz sonuçları elde edilir.

3. Adım: Erişim Elde Etmek

Bu adımda yapılan analizler doğrultusunda test edilmesi hedeflenen sistem üzerinde bulunan açıklara ulaşılmaya çalışılır.

4. Adım: Erişimi Yönetme

Bu adımda, açıklara erişim hakları yönetilir.

5. Adım: İzleri Gizleme

Bu adımda hedef sistem üzerinde ilk 4 adımda yapılan erişim işlemlerinde bırakılan izler temizlenir ya da tam tersi daha da iz bırakılması sağlanır.

 

 

 

Raporlama:

Standart Rapor

Her test sonucunda tüm sistemi kapsayan zafiyet ve açıklıkları da içeren kapsamlı penetrasyon test raporu hazırlanır.

Standart Rapor + Öneriler

Her test sonucunda tüm sistemi kapsayan zafiyet ve açıklıkları da içeren kapsamlı penetrasyon test raporu hazırlanır. Rapordaki tüm açıklık ve zafiyet nedenleri ile bu nedenlerin kapatılmasına ilişkin tüm öneriler de ayrıca raporlanır. Öneriler hazırlanırken tüm zafiyetler ve bunlara neden olan kök nedenlerin analizi sağlanır.

• Önerileri kapsayan rapor hizmeti alındığında önerilere ilişkin çalışma yapıldıktan sonra ikinci zafiyet taraması kapsam dâhilinde ücretsiz olarak yapılır. 

Konu

Telefon Numaranız

Mesajınız

Gönder