top of page
redteam.png

Ofansif Güvenlik Danışmanlığı

Ağ ve Uygulama Sızma Testleri

Tüm teknoloji birimleriniz için güvenlik hizmetleri

* Yerel Ağ Sızma Testi

* Web Uygulama Sızma Testi

* Mobil Uygulama Sızma  Testi

* Kablosuz Ağ Sızma Testi

* Kaynak Kod Analizi

* Sosyal Mühendislik Testi

* Stres ve Yük (DDoS) Testleri

Temelde siber suçlu, zararlı yazılım ve/veya saldırı simülasyonları olarak özetlenebilecek sızma testi  (pentest), kurumların siber saldırılara karşı güvenlik seviyesini ölçmek ve tespit edilen risklerin gerçekleşmeden önce önüne geçilebilmesini hedeflemektedir.

Sektörel tecrübelerimizi ve dünya çapında çalışan ekiplerimizin bilgi birikimlerini biraraya getirerek kendimize özgü bir penetrasyon testi metodolojisi geliştirdik. 

Sektörde genel kabul görmüş yaklaşımları bir araya getiren metodolojimizde, yaklaşım tabanlı değil risk tabanlı bir modeli benimsiyoruz. Bu modelin bize sağladığı en büyük avantaj, test türü farketmeksizin riskin yol açacağı kayıpların yönetilebilmesidir.

Metodolojimizin genel hatları test türüne özgü yaklaşımlar, en iyi uygulamalar (Best Practices) ve sektördeki deneyimlerimizle desteklenmektedir. 

Tehditlerin Değerlendirilmesi

Siber güvenlik denetimi kapsamının belirlenmesi amacıyla, gerekli tüm bilgiler toplanır. Ek olarak bu aşamada tehdit analizi yapılarak tehdit unsurlarının gerçek durum senaryolarıyla örtüştüğünden emin olunur.

İnceleme Aşaması

Sistemler, gerek barındırdığı teknik zafiyetler gerekse kontrol eksiklikleri yönünden incelenir.

Sömürme / Ayıklama Aşaması

Riskleri ve olası bilgi ifşasını tam olarak gösterebilmek adına, pentest sırasında tespit edilen açıklıklardan / zafiyetlerden amaca uygun olanları kullanılarak açıklık / zafiyet sömürülür(exploitation).

Sonuçların Değerlendirilmesi

İnceleme ve sızma aşamasında elde edilen bulgular bir rapor hâline getirilerek, açıklıklara / zafiyetlere sebep olan kök nedenler ayrıntılı olarak sunulur.

Metodoloji

Sızma Testi Aşamaları

01

Kapsam Belirlenmesi

Müşteri, testin yapılmasını istediği hedefi/kapsamı belirler. Testin yaklaşım türüne göre (Black Box, White Box, Gray Box) testi yapacak olan firma ile bilgiler paylaşılır.

03

Güvenlik Açığı Tespiti

Toplanan bilgilerle güvenlik açıkları belirlenir. Otomatize araçlarla taranan sistemler, manuel olarak uzmanlarca test edilir. Tespit edilen servis ve versiyon bilgileri, güvenlik açığı olup olmadığı kontrol edilerek analiz edilir.

05

Sömürü Aşaması

Tespit edilen zafiyetler saldırgan bakış açısı ile sömürülmeye çalışılır. Zafiyetin sistem üzerindeki etkileri incelenir. Saldırgan, yetkisiz giriş yapabiliyor mu? Servisi durdurabiliyor mu? Gibi sorulara cevap aranır.

07

Temizlik

Test edilen sistemlerde yapılan değişiklikler geri alınır. Test için oluşturulan/yüklenen dosyalar sistemden temizlenir. Oluşturulan kullanıcılar silinir. Yüklenen zararlı yazılımlar kaldırılır. Sistemler, sızma testi çalışmasından önceki hallerine geri döndürülür.

02

Bilgi Toplama

Hedef hakkında pasif (sistem ile doğrudan etkileşime geçmeden) ve aktif (sistem ile etkileşime geçerek) bilgi toplama işlemi gerçekleştirilir. Kullanılan teknoloji, uygulama ve versiyon bilgileri, fonksiyonlar gibi bilgiler örnek gösterilebilir.

04

Bilgilerin Analizi ve Planlama

Tespit edilen güvenlik açıklıklarının sömürülmesi için gerekli araştırmalar yapılarak sömürü kodları, zararlı yazılımlar gibi ofansif araçlar hazırlanır.

06

Yetki Yükseltme & Sömürü Sonrası Aşama

Saldırgan, sisteme erişim sağladıktan sonra mevcut yetkilerini yükseltmeye çalışır. Yetkisiz dosyalara erişim ve sistem içi hareketler incelenir. Kritik dosyalara erişim sağlanabilir mi? Sömürü sonrası teknikler ve prosedürler simule edilir.

08

Raporlama

Yukarıdaki adımların özeti çıkarılır. Var olan veya ileride oluşabilecek potansiyel riskler, alınması gereken önlemler gibi bilgiler raporlanır.

Ekibimizin sertifikaları

linkedin_thumb_image.png

OSWE

Offensive Security Web Expert

image.png

OSCP

Offensive Security Certified Professional

CEH_Badge.png

CEH

Certified Ethical Hacker

GCIH.png

GCIH

GIAC Certified Incident Handler

Sızma Testi:Sertifikalar
bottom of page