Sızma Testi - Penetrasyon Testi Hizmeti

Maalesef birçok IT sorumlusu, söz konusu güvenlik olduğunda sistem üzerinde çalışacak bir ürün ya da ürün grubu satın alarak sistemin güvenliğini bu ürünlerle sağlayabileceğini düşünüyor fakat bu çok büyük bir hatadır! Evet, söz konusu siber güvenlik olduğunda doğru ürünler tercih edilir ve doğru konfigüre edilirse bunlar işe yarar ama ürün/ler asla tek başına yeterli olmayacaktır! Konuyla ilgili olarak, güvenlik ve güvenlik sürecinden bahsederken Bruce Schneier’dan bahsetmemek olmaz. Bruce Schneier der ki:

Güvenlik bir süreçtir, araç değil!

Biz de sızma testi hizmetlerimizde ve akabinde bu doğrultuda hareket ederiz. Öyle ki güvenlik, içinde bulunduğumuz her andır. Dolayısı ile sızma testi işlemi gerçekleştirildikten sonra düzenli aralıklarla penetrasyon testi hizmeti devam ettirilmelidir. Bir defa sızma testi hizmeti alıp, pentest raporuna istinaden uyguladığınız çözümler sizi ancak o anlık güvende tutar. Basit bir örnek vermek gerekirse; şu an X teknolojisinin, Y ürününün, Z versiyonunu kullanıyorsunuz ve her şey yolunda diyelim. Üç ay sonra kullandığınız bu ürünün mevcut versiyonunda doğrudan açık çıkma ihtimalini ya da bu ürünün birlikte çalıştığı farklı bir üründe zafiyet çıkma ihtimalini düşündüğünüzde, düzenli pentest hizmetinin önemi ortaya çıkacaktır.

Sızma Testi
Siber güvenliği temel olarak ikiye ayıracak olursak birincisi defensive security yani, savunmacı güvenlik, ikincisi ise; offensive security yani proaktif güvenlik olarak adlandırılabilir.

Sızma testi, penetrasyon testi kısaca pentest olarak da kabul görmüştür.

Sızma testi hizmetinin süreçlerine geçmeden önce sızma testlerinin çeşitlerine şöyle bir bakalım.

Penetrasyon testi üç kategoride ele alınmaktadır. Bunlardan birincisi BlackBox test, ikincisi; WhiteBox test ve üçüncüsü GrayBox test‘tir.

BlackBox testi sisteme dair elinde hiçbir bilgi olmaksızın tamamen dışarıdan, üçüncü bir saldırgan olarak gerçekleştirilen saldırı türüdür.

WhiteBox testi saldırgana sisteme erişim bilgilerinin verildiği saldırı türüdür. Bu saldırı türünde amaç içeriden gerçekleşecek bir saldırıda neler olabileceğini görmektir.

GrayBox testi, BlackBox testi ve WhiteBox testin bir karışımıdır diyebiliriz. Bu test yönteminde ise saldırgana sisteme ait bazı bilgiler sağlanır ve saldırı bunun akabinde gerçekleşir.

Sızma testi, sizin belirlediğiniz bir bilişim sistemine (web sitesi, mobil uygulama, network sistemi vb.) uygun olan her türlü yolu deneyerek sisteme sızma faaliyetlerine verilen isimdir.

Sızma testinde amaç sistemdeki güvenlik açıklarını bulmak ve nasıl değerlendirilerek sisteme sızılabileceğini tespit etmektir.

Sızma testi sonucunda  sistemde bulunan açıklar, bulunan açıkların tehlike oranı ve nasıl değerlendirilebileceğine dair bir rapor sunulur tarafınıza. Bu rapora istinaden ilgili açıkları dilerseniz siz kapatabilirsiniz ya da dilerseniz sizin için bu işlemi biz yapabiliriz.

Sızma testi (pentest) ile zayıflık tarama (vulnerability assessment) maalesef birbiri ile karıştırılabilen iki farklı kavramdır. Dolayısı ile kullanıcılar ve hizmet sağlayıcılar tarafından farklı yorumlanabilmekte ve/veya yanlış pazarlanabilmektedir.

Zayıflık tarama, hedef sistemdeki güvenlik açıklarının taranması ve sonucun raporlanmasından ibaret iken sızma testinde, sisteme ait güvenlik açıklarının bulunarak, hedef sistem üzerinde bu açıkların nasıl kullanılabileceğini bulma (örn: X açığı, Z -> V yolundan giderek veritabanına erişilebilir)  ve bu iki aşamayı da raporlama çalışmasıdır.

• Web Application Pentest
• Network Pentest
• Mobile Pentest
• Cloud Pentest
• Code Review
• DDoS Pentest
• Wireless Pentest