info@tetrabilisim.com.tr
(+90) 216 740 00 20
Tetra  »  Hizmetlerimiz »  Penetrasyon Testi

Penetrasyon testi, kurumun sahip olduğu bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması konusudur. Proaktif güvenliğin ilk adımı olan bu test, sızma testi olarak da adlandırılır. Kurum tarafından belirlenmiş bilişim sistemlerine, tüm yollar denenerek sızmaya çalışma işlemleri yapılır. Bu sızma testindeki amaç, sistemdeki güvenlik açığını bulmakla beraber, yetkili erişimler sağlanmasıdır.

Penetrasyon testinin tanımlandığı, yapıldığı ve pazarlandığı birçok farklı yol vardır. Genellikle “güvenlik açığı taraması”, “uyumluluk denetimi” veya “güvenlik değerlendirmesi” yürütülmesi ile karıştırıldığından, penetrasyon testi bu çabaların dışında birkaç kritik yolla durur:

Bir sızma testi, güvenlik açıklarını açığa çıkarmakla kalmıyor: Bir kuruluşun BT varlıklarına, verilerine, insanlarına ve / veya fiziksel güvenliğine karşı gerçek dünya saldırı vektörlerini kanıtlamak (veya onaylamak) için bu açıkları aktif olarak kullanmak adına bir sonraki adımı atıyor.

Bir penetrasyon testi, otomatik araçların ve süreç çerçevelerinin kullanımını içerebilse de, eninde sonunda, bireyin veya test uzmanlarının, testin getirdiği deneyimin, ve bunlara bağlı aktif bir saldırı bağlamında kullandıkları beceriler ve yetenekleri vardır ve bunlardan en önemlisi; organizasyon.  Gelişmiş karşı önlem teknolojilerini kullanan yüksek oranda otomatik, iyi kaynaşmış ve gelişmiş ağlar, genellikle, insan zihninin kendine özgü niteliğine karşı savunmasızdır.

Bir penetrasyon testi şu soruya cevap verecek şekilde tasarlanmıştır: “Mevcut güvenlik kontrollerimin aktif, yetenekli bir saldırganın gerçek dünyadaki etkinliği nedir?” Bunu, gerekli kontrollerin varlığını kontrol eden güvenlik veya uyumluluk denetimleriyle basit bir senaryo oluşturarak  doğru konfigürasyonları karşılayabiliriz. % 100 uyumlu bir kuruluş bile, gerçek dünyada yetenekli bir insan tehdit etmenine karşı savunmasız olabilir.

Bir penetrasyon testi, aynı hedefe karşı çoklu saldırı vektörlerinin araştırılmasına izin verir. Çoğunlukla, başarılı bir uzlaşmaya yol açacak farklı sistemlerdeki bilgi veya güvenlik açıklarının birleşimidir. Her ne kadar bir vektör üzerinden kapsamlarını sadece bir hedefle sınırlandıran penetrasyon testi örnekleri olsa da (örneğin, sadece internet tarayıcısı açısından yürütülen bir web uygulama kalem testi), sonuçları her zaman detaylıca göz önünde bulundurulmalıdır : Test değerli sonuçlar vermiş olsa da, sonuçlardan sadece testin yapıldığı bağlamda yararlıdır. Başka bir deyişle, kapsamı ve vektörü sınırlamak, gerçek dünyadaki güvenlik riski anlayışını sınırlar.

Sızma testlerinde hayati önem taşıtan pentest metodolojisi, doğrulanabilir, yorumlanabilir ve tekrar edilebilir bir teknik ile çalışılmasında rehber niteliğindedir. Daha önce denenmiş ve standart haline getirilmiş bu kurallar doğru ve eksiksiz bir biçimde uygulandığında başarılı sonuçlar verir.

Bizler de Penetrasyon Testi hizmetimizle, güvenliğinizin denetlenmesiyle beraber sağlıklı ve başarılı sonuçlar üretmeyi hedefliyoruz. Penetrasyon test çeşitlerimiz; Web Application Pentest, Network Pentest, Cloud Pentest, DDoS Pentest, Wireless Pentest ‘dir. Kurumunuza uygun olanı tercih edilerek, testiniz başarılı bir şekilde gerçekleştirilecektir.


Neden Pentest yaptırmalıyım?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Her ne kadar güvenliğinize dikkat ederseniz edin, her zaman birşeylerin gözünüzden kaçma ihtimali vardır ve bu nedenle, kendi güvenliğinizi beyaz şapkalı hackerlara test ettirmeniz yararınıza olacaktır. Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.

Bir kuruluşların penetrasyon testine yatırım yapmasının birkaç nedeni:

    Belirli bir saldırı vektörlerinin fizibilitesinin belirlenmesi
    Belirli bir sekansta istismar edilen düşük riskli güvenlik açıklarının birleşiminden kaynaklanan yüksek riskli güvenlik açıklarının belirlenmesi
    Otomatik ağ veya uygulama güvenlik açığı tarama yazılımı ile tespit edilmesi zor veya imkansız olabilecek güvenlik açıklarını belirlemek
    Başarılı saldırıların potansiyel iş ve operasyonel etkilerinin büyüklüğünü değerlendirmek
    Ağ savunucularının, saldırıları başarılı bir şekilde tespit etme ve bunlara cevap verme yeteneklerini test etme
    Güvenlik personeli ve teknolojisindeki C seviyesindeki yönetim, yatırımcılar ve müşteriler için artan yatırımları desteklemek için kanıt sağlamak
    Uyum uyumu (örneğin: Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), hem yıllık hem de devam eden penetrasyon testini gerektirir (herhangi bir sistem değişikliğinden sonra)
    Güvenlik olayından sonra, bir kuruluşun, ele geçirilmiş bir sisteme (veya tüm ağa) erişmek için kullanılan vektörleri belirlemesi gerekir. Adli analizle birleştirildiğinde, genellikle saldırı zincirini yeniden oluşturmak için bir penetrasyon testi kullanılır veya yeni güvenlik kontrollerinin devreye sokulduğunu onaylamak, gelecekte de benzer bir saldırıyı engeller.