Sızma Testleri (Penetrasyon Testleri)

İnternette kötü amaçlı sistemlere saldıran hackerların sayısı, bilgisi, becerisi, zamanı ve motivasyonu her zaman güvenlik uzmanlarının sahip olduğu zaman, bilgi ve motivasyonun üstündedir. Sahip olunan bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır.

Sızma Testleri (Penetrasyon Testleri) Hizmeti

Bilişim güvenliğini temelde ikiye ayırırsak ilki savunmacı güvenlik olarak isimlendirdiğimiz “defensive security”, diğeri ise proaktif güvenlik olarak adlandırabileceğimiz “offensive security”dir. Pentest çalışmaları “offensive security” anlayışının bir sonucu olarak ortaya çıkmaktadır.

Sızma testleri, müşteri tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmaya çalışma işlemlerinin tamamına verilen addır.

Sızma testlerinde amaç, güvenlik açıklığını bulmaktan öte bulunan açıklığının değerlendirip sistemlere yetkili erişimler elde elde edilebilmesidir.

Sızma Testleri (Penetrasyon Testleri) Hizmeti

Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşit sızma testi vardır.

Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen fakat farklı kavramlardır. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının çeşitli yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç sadece güvenlik açıklıklarını belirlemek değil, bu açıklıklar kullanılarak hedef sistemler üzerinde gerçekleştirilebilecek ek işlemlerin (sisteme sızma, veritabanı bilgilerine erişme gibi) belirlenmesidir.

Sızma Testi (Pentest) Metodolojisi

Sızma testlerini gerçekleştiren uzmanlar çalışmalarının doğrulanabilir, yorumlanabilir ve tekrar edilebilir olmasını sağlamak için önceden hazırlanmış olan metodolojileri kullanır ve edindiği tecrübelere göre bu metodolojileri geliştirir.

Metodoloji kullanımı sızma test ekipleri için hayati önem taşımaktadır. Sızma testlerinde daha önce denenmiş ve standart haline getirilmiş kurallar uygulandığında daha başarılı sonuçlar elde edilir.

İnternet üzerinden ücretsiz olarak edinilen bazı metodolojiler incelenerek yapılacak güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretmesi sağlanır.

> OWASP   > OSSTMM  > ISSAF  > NIST SP800-155

BGA Security tarafından yapılan sızma testlerinde kullanılan kontrol listesi toplamda, 400 farklı madde içermektedir ve bilinen tüm sızma testi standartlarını desteklemektedir.

Penetrasyon (Sızma) Test Çeşitleri

  • Web Application Pentest
  • Network Pentest
  • Mobile Pentest
  • Cloud Pentest
  • Code Review
  • DDoS Pentest
  • Wireless Pentest
  • Voip Pentest

Neden BGA Sızma Testleri

  • BGA Security Türkiye ve dünyada sızma testleri konusunda 100’ün üzerinde kurumsal referansa sahiptir.
  • Pentest ekibimiz uluslararası geçerliliğe sahip CEH, CISSP, LPT, OSCP sertifikalarına sahiptir.
  • Uygulama testleri 10 yıllık tecrübesi olan kıdemli üyeler tarafından gerçekleştirmektedir.
  • Sızma testleri konusunda tecrübelerimizi  BGA Security Blog adresimizde paylaşmaktayız.
  • BGA Security 15 kişilik teknik ekip ve 100’ün üzerinde kurumsal referans ile hizmet vermektedir.

Örnek Raporlar

Gerçekleştirdiğimiz sızma testlerinde detaylı olarak sızma testi raporu hazırlamakta ve bu raporun gizlilik detaylarına hassas bir biçimde dikkat etmekteyiz. Hazırlanan sızma testi raporlarında açıklık barındıran uygulamalardaki düşük, orta, yüksek, kritik ve acil seviye güvenlik zafiyetleri detaylı incelenerek, yanlış alarm (false positive) olabilecek başlıklar elenir. Örnek sızma testi sonuç raporumuzu inceleyerek detaylı ön bilgi alabilirsiniz.

Referanslar

BGA Security  kuruluşundan bu yana 100’ün üzerinde farklı kuruma sızma testi gerçekleştirmiştir. Hizmet verilen firmalar arasında ülkemizin en büyük finans kurumları, telekom şirketleri, enerji firmaları, savunma sanayi firmaları ve kamu kurumları yer almaktadır. Referanslar Non Disclosure Aggrement (NDA) kapsamında korunmaktadır. Detaylı bilgi için bilgi@bga.com.tr adresimiz ile iletişime geçebilirsiniz.

Ekip Yetkinlikleri

BGA Security  sızma testi uzman ekibi uluslararası gerçelilikte olan aşağıdaki sertifikasyonlara sahiptir. Ekibimizin Türkçe olarak hazırlamış olduğu sızma testleri uzmanlık dokümanları ve laboratuvar kitaplarına Makaleler sayfamızdan veya blogumuzdan pentest makalelerimize ücretsiz olarak ulaşabilirsiniz.  

Daha fazla bilgi için egitim@bga.com.tr adresimiz ile iletişime geçebilir veya teklif al formumuzu doldurabilirsiniz. Formu doldurduğunuz takdirde en kısa sürede sizlerle iletişime geçeceğiz.

E-posta Listemize Kayıt Olarak Etkinliklerimizi Kaçırmayın!
Eğitimlerden ve etkinliklerimizi kaçırmamak için duyuru listemize üye olmayı unutmayın.
Sertifikalar