sizma-min.jpg
f7.png
t2.png

Supernova ZeroRisk

Sızma ve Zaafiyet Testleri

Supernova'nın aşağıdaki konularda nasıl yardımcı olduğunu öğrenin:

Penetrasyon testi

Penetrasyon Testi Nedir?

Kurumun sahip olduğu bilişim sistemlerindeki güvenlik zafiyetlerini kontrol etme amaçlı yapılan üçüncü bir kişi tarafından yapılan ‘’bilinçli’’ sızma testine penetrasyon testi denir. Proaktif güvenliğin ilk adımı olan bu testteki amaç sistemdeki açıkları bulmanın yanı sıra, yetkili erişimler sağlanmasıdır.

Testi durdurmak

Penetrasyon testi sanılanın aksine güvenlik açığı taraması, uyumluluk denetimi veya güvenlik değerlendirmesi değildir. Penetrasyon testi bu çabaların dışında birkaç kritik yolla durur:

Bir sızma testi, güvenlik açıklarını açığa çıkarmakla kalmıyor: Bir kuruluşun BT varlıklarına, verilerine, insanlarına veya fiziksel güvenliğine karşı gerçek dünya saldırı vektörlerini kanıtlamak için bu açıkları aktif olarak kullanmak adına bir sonraki adımı atıyor.

f1.png

Bir penetrasyon testi, otomatik araçların ve süreç çerçevelerinin kullanımını içerebilse de, sonunda, bireyin veya test uzmanlarının, testin getirdiği deneyimin, ve bunlara bağlı aktif bir saldırı durumunda kullandıkları beceriler ve yetenekleri vardır ve bunlardan en önemlisi organizasyondur.

Gelişmiş karşı önlem teknolojilerini kullanan yüksek oranda otomatik, iyi kaynaşmış ve gelişmiş ağlar, genelde, insan aklının kendine özgü niteliğine karşı savunmasızdır.

Bir penetrasyon testi ‘’mevcut güvenlik kontrollerimin aktif ve yetenekli bir kötü niyetli saldırganın gerçek dünyadaki etkinliği nedir?’’ sorusuna cevap verecek şekilde tasarlanmıştır. Bu soruya cevap verme bağlamında kendimize gerecek dünyaya entegre bir senaryo yazıp buna uygun güvenlik önlemleri almamızı sağlar. Penetrasyon testi aynı hedefe karşı birden çok senaryonun araştırılmasına olanak verir. Bir penetrasyon testi, aynı hedefe karşı çoklu saldırı vektörlerinin araştırılmasına izin verir. Kapsamı ve vektörü sınırlamak, gerçek dünyadaki güvenlik riski anlayışını sınırlar. Bu yüzden her türlü çoklu saldırı vektörlerine izin verilir ve daha doğru yorum ve raporlar hazırlamamıza olanak sağlar. Sızma testlerinde hayati önem taşıtan pentest metodolojisi, doğrulanabilir, yorumlanabilir ve tekrar edilebilir bir teknik ile çalışılmasında rehber niteliğindedir. Daha önce denenmiş ve standart haline getirilmiş bu kurallar doğru ve eksiksiz bir biçimde uygulandığında başarılı sonuçlar verir.

 
 
sizma 2-min.jpg
t1.png

Yapılması gerekenler

Sızma Testi Kapsamında Yapılması Gereken Konu Başlıkları

İletişim Altyapısı ve Aktif Cihazlar ile İstihbarat Toplama

DNS Servisleri

Etki Alanı ve Kullanıcı Bilgisayarları

E-posta Servisleri

Veri Tabanı Sistemleri

Web Uygulamaları

Mobil Uygulamalar

Kablosuz Ağ Sistemleri

Sosyal Mühendislik Testleri

Uygulanacak Temel Uygulama Metod Başlıkları

Kablosuz Ağ Sistemleri

İç Sızma Testi ile Sistem Tespiti, Servis Tespiti ve Açıklık Taraması

Kablosuz Ağ Sistemleri (Wi-Fi) Testleri

Firma yerel ağ haritası tespiti

Web Uygulama Sızma Testleri

Veri Tabanı Sistemleri Testleri

Uygulama Testi

Güvenlik Açığı Analizi ile belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgilere ulaşma testlerinin gerçekleştirilmesi

Yerel alan ağı içerisinde zafiyet taraması yapılması

Firma yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması

İstismar sürecinde var olan sisteme zarar verilmeden elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme testlerinin gerçekleştirilmesi

Ele geçirilen sunucu ve kullanıcı bilgisayarlarının tespit edilip gerekli açıklığı kapatmaya yönelik destek sağlama

Raporlama ve Sunum

 
teknik 2-min.jpg

Bir Sonraki Hizmet

Teknik Açıklıkların Yönetimi