Penetrasyon Testleri

Penetrasyon Testleriyle Güvenlik Açıklarınızı Saptayın

 

Penetrasyon yani sızma testleri yardımıyla sisteminiz üzerindeki tüm güvenlik açıklarını saptayabilirsiniz. Bu durum izleyeceğiniz güvenlik politikasını belirlemeniz açısından son derece önemlidir.

Penetrasyon testi temel olarak, güvenlik uzmanlarınca tüm altyapınızın hackerların bakış açısından gerçekleştirdikleri saldırılar simule edilmesi yöntemiyle sistem altyapınızda gerçekleşebilecek tüm ihlallerin ortaya çıkarıldığı bir denetimdir. Altyapılardaki bilginin önem derecesine göre, ele geçirilmiş sunucular farklı amaçlarla kullanılabilir.

Risk Girmeden Riskli Noktaları Belirleyin

Başarılı bir saldırı sonucunda gizli belgeler, fiyat listeleri, veri tabanları, kurum sırları ve diğer kritik bilgiler ele geçirilebilir veya değiştirilebilir. Penetrasyon testini bir saldırıdan ayıran en temel özellik test süresince hiçbir zarar görmemenizdir. Birçok durumda penetrasyon testini yapan kişiye kullanıcı düzeyinde erişim izni verilir. Bu durumlarda amaç hesabın durumunu veya kullanıcı düzeyine sahip kişinin erişmemesi gereken ek bilgilere başka yollarla bir kullanıcının erişip erişmediğini denetlemektir.

Penetrasyon Testinde UITSEC Farkı: Uzmanlık + %100 Manuel Test Uygulaması

Penetrasyon testleri çeşitli gruplara ayrılır. UITSEC sizin için gerekli olan testleri belirleyip, uluslararası standartlarda uygulayarak kurumsal siber güvenliğiniz için ilk önemli adımı atar. Manuel test protokolleri test başarısını yukarı çeker. UITSEC penetrasyon testlerini %100 manuel gerçekleştirir.

 

Penetrasyon testinde uzman yetkinliği kritik önem taşır. UITSEC’de uzmanlar bu alanda en yüksek yetkinlik olan OSCP sertifikası sahibidir.

 

UITSEC’in uyguladığı Pentest Türleri

 

UITSEC zafiyetlerinizi ve açıklarınızı belirlemek için sisteminizin bileşenlerine özgü penetrasyon testlerine tabi tutar.

 

*Dış Penetrasyon Testi (Black Box):

UITSEC bu adımda tarafınızdan hiçbir teknik veya yönetimsel bilgi talep edilmez. Gerekli bütün aktif-pasif araştırma, dokümanlama ve keşif sürecini tamamlar; hacker gibi düşünerek, hacker gibi yaklaşarak, sisteminizi dışarıdan test eder. Sonrasında kurumunuza yönetimsel ve teknik olarak iki farklı rapor sunulur.

 

*İç Penetrasyon Testi (White Box):

Black Box testi’ni takiben White Box süreci başlar. White Box firmanızın iç ağından yürütülen test sürecidir. Bu testi yaparken birçok bilgiye sahip olunur. UITSEC test uzmanları duruma göre farklı senaryolar uygulayarak saldırıları gerçekleştirir ve testi tamamlar. Test sonrasında da kurumunuza yönetimsel ve teknik olarak iki farklı rapor sunulur.

 

*Doğrulama Testi (Check Box):

Gerçekleştirilen iki testin 1-2 ay sonrasında (talebinize bağlı olarak) bulunan güvenlik açıklarının kapatılıp kapatılmadığını kontrol etmek, yeni oluşan kritik bir zafiyetin var olup olmadığını tespit etmek ve önceki testler ile sunduğumuz raporlar sonrasında ortaya koyduğumuz güvenlik politikalarının uygulanıp uygulanmadığını görmek için üçüncü bir doğrulama testi gerçekleştirilir.

 

*Web Uygulaması Penetrasyon (Sızma) Testi:

Web uygulamaları OSI katmanlarının yedinci katmanında bulunmaktadır, bu katmanda birçok yazılım dili ve altyapı bulunur. Bu dillerde birçok saldırı vektörü vardır ancak bu katmanın en büyük problemi her bilgi düzeyinden yazılımcının bu katmanda çalışmasıdır. Web yazılımları Türkiye’de halen ‘yazılım çalışıyor mu çalışmıyor mu’ olarak denetlenmekte ve yeterli denetimler yapılmadan internetten ulaşılabilir hale gelmektedir.

Web yazılımlarının temelde otuz iki saldırı vektörü bulunur. Ancak, birbirleri arasında korelasyonları ve alt kırımları sonucu denetlenmesi gereken binlerce senaryo oluşur. Şirketinizin dünyaya açılan kurumsal yüzü olan web siteniz, firma kalitenizi ve konsolide teknoloji bağlılığınızı gösterip prestijinizi arttıran yüzünüz ise web-online uygulamalarınızdır. Web siteleri üzerinde sürekli geliştirme ve yeniden kodlama çalışması yaptırmak çok maliyetli ve zahmetli bir çalışma gerektirdiği için, web sitenizin ve online uygulamanızın stabil güvenliği için en çok önerilen yöntem web uygulamaları sızma (Penetrasyon) testidir.

Penetrasyon testi zafiyetleri nokta tespiti yaparak bulduğu için, sorun odaklı çözümler üretir ve böylelikle hem zaman kazanmış, hem de tasarruf etmiş olursunuz. UITSEC, web uygulamaları Penetrasyon testinde kritik pozlama yaparak pozitif sömürülebilir uygulama zafiyetlerini görmenizi sağlar. Size bunlarla ilgili en etkin çözüm önerilerini sunar. UITSEC mühendisleri web uygulamaları sızma testlerinde Open Web Application Security Project (OWASP) PenTest metodolojilerini kullanır.

 

*Mobil Uygulama Penetrasyon (Sızma) Testi:

Gelişen dünyanın yeni trendi halini alan mobil uygulamalar, web uygulamaları gibi farklı yazılım dilleri ve altyapıları ile geliştirilmektedir. Mobil uygulamalar üzerinde yapılan testler öncelikli olarak yazılım dilinin ve altyapısının kronikleşmiş zafiyetlerinin denetimi ile başlamaktadır. Uygulamanın süreçler esnasında kullandığı verilerin barındırıldığı yer, saklanma formatı gibi detayların da incelendiği bu test kapsamında veri kaynağı sunucu ile olan trafiği de denetlenmektedir. Uygulamaların hangi sunucular ile iletişim halinde oldukları, bu sunuculara hangi verilerin yollandığı hangi verilerin alındığı ve veri transferi esnasında kullanılan protokoller incelenerek bu noktalardan kaynaklanan zafiyetler test edilmektedir. Teste dâhil olarak yazılım üzerinde bulunan mimarisel hatalar ile birlikte alınan verinin hangi aşamada nasıl işlendiği ve kullanıldığı da incelenir.

 

*Kablosuz Ağ Penetrasyon Testi:

Test kapsamında öncelikli olarak altyapının yaklaşımından kaynaklı riskler değerlendirilir. Bu riskler kullanılmış teknolojinin çalışma yapısından kaynaklanan risklerdir. Çalışma saldırı formasyonu alması ile birlikte tüm sinyal trafiği dinlenir, kullanılan çözüm ile doğru orantılı saldırı vektörleri bu noktada başlar. Örneğin, WEP/WPA/WPA2 şifreleme algoritması ile çalıştırılmakta olan bir kablosuz ağda şifre yakalanmaya çalışılır ve bu şifrenin kırılması denenir. Uygulamanın web base giriş kontrolü yapması halinde web uygulaması da penetre edilerek buradan oluşabilecek zafiyetler de teste dahil edilir. Bu çalışmalar ile birlikte ağ dağıtıcılarının konumlandırılma şekilleri de dahil olmak üzere tüm çözüm değerlendirilir.

 

*VOIP Penetrasyon Testi :

  1. VOIP Servis Durdurma Saldırısı
  2. Ses Datalarının Dinlenmesi
  3. Mesaj Servisinin Manipülasyonu
  4. VOIP Spam
  5. VOIP-to-Data Exploit
  6. Servis-Entegrasyon-Data Yönetimi Hizmetlerinin Kalitesizleştirilmesi (Bozuntuya Uğratılması)
  7. Call Hijacking
  8. ARP Poisoning
  9. Ses Datası Ekleme
  10. Sahte Telefon Kaydı Yaratılması
  11. Kayıtlı Dataların Tahribatı
  12. Görüşmelerin İzinsiz Anlık Dış Yayın Yapılması
  13. CDP Poisoning
  14. Interception MITM Saldırısı
  15. Data Bütünlüğünün Deformasyonu
  16. Kimlik ve Yetki Çalınma Saldırısı
  17. SIP Spoofing
  18. SIP Exploitation
  19. RTP Bypass
  20. VOIP Client Cihazlarının Manipülasyonu
  21. VOIP Segmentasyon Sorunu Tespiti
  22. VOIP Segregasyon Denetimi
  23. VLAN Üzerinden Yetki Yükseltme
  24. VLAN Hopping

 

  • Sistemleri ve uygulamaları güvende tutmanın birçok yolu olmasına rağmen, gerçekte ne kadar güvende olduğunuzu bilmenin tek yolu; penetrasyon testlerinin manuel olarak ve düzenli aralıklarla yapılmasıdır.
  • Penetrasyon testi ve zafiyet değerlendirmesi her zaman için karıştırılan kavramlardır. Bu iki kavram birbirleriyle ilişkilidir, ancak zafiyet değerlendirmesi sistem saldırısına karşı savunmasız olan alanları tespit edilmesine önem verirken, penetrasyon testi mümkün olan her yoldan erişim elde etmeye odaklanır.
  • Sistemlerini ikinci bir gözün kontrol etmesi önemli bir güvenlik uygulamasıdır. Yeni bir sistemin faaliyete geçmeden önce test edilmesi önemlidir. Fakat en önemlisi güvenlik açıklarının bulunması ve sisteme saldırı olmadan önce bunların düzeltilmesidir.
  • Penetrasyon testi raporu; özet, IP adresi ve acil olarak düzeltilmesi gereken sorun gibi, yüksek seviyede işletimsel detayları kapsayan yönetim özeti, belirli sonuçları ve iyileştirme önerileri sunulan teknik özet bölümlerini içerir.

UITSEC uzun yıllardır gerçekleştirdiği çok sayıdaki manuel Pentest deneyimiyle, alanında en yetkin sertifikalara sahip test uzmanlarınca uygulanan ayrıntılı testleriyle sisteminizin açıklarını ve konfigürasyon hatalarını net olarak saptar.