Bir çok firma günümüzde Pen-Test hizmeti sunmaktadır. Bizleri diğerlerinden farklı kılan unsurların basında sertifikalarımız gelmektedir. OSCP, CEH ve TSE belgelerine sahip uzman kadromuz aynı zamanda kendi geliştirdikleri kodları kullanarak taramalarını yapmaktadır. Taramalar sırasında kesinlikle hazır programlar kullanılmamaktadır.
UNUTMAYIN ! ; taramalar sonucunda aldığınız raporlar , raporu aldığınız güne kadar ki sonuçları içermektedir. 1 saat sonrasında çıkan yeni bir zero-day den etkilenip etkilenmeyeceğinizi ancak iyi bir SIEM ve NGN-IPS ler bilir. Kullanacağınız kodları devreye vermeden önce mutlaka dinamik kod analistlerine test ettirin. Hazır programlar bu testleri statik yapmakta ve insan faktörünü pass geçmektedir.
Pen-test ihtiyaçlarınız konusunda Layer-X yanınızdadır.
Detay;
Sızma Testleri
Sızma testi, belirlenen bilişim sistemlerindeki mantık hataları ve zafiyetleri tespit ederek, söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmek maksadıyla, yetkili kişiler (uluslararası akreditasyona sahip sızma testi uzmanları) tarafından ve yasal olarak gerçekleştirilen güvenlik testleridir. Bilgi Güvenliği kapsamında asıl amaç, zafiyeti tespit etmekten öte ilgili zafiyeti sisteme zarar vermeyecek şekilde istismar etmek ve yetkili erişimler elde etmektir. İnternette kötü amaçlı olarak sistemlere saldıran hackerların sayısı, bilgisi, becerisi, zamanı ve motivasyonu her zaman güvenlik uzmanlarının sahip olduğu zaman, bilgi ve motivasyonun üstündedir. Sahip olunan bilişim sistemlerindeki güvenlik zafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk aşamalarındandır. Hemen hemen ger gün onlarca zafiyetin ortaya çıktığı günümüz internet dünyasında kurumlar; sahip oldukları varlıkları korumak için sızma testleri gerçekleştirmesi zorunlu bir hale gelmiştir. Bilişim güvenliğini temelde ikiye ayırırsak ilki savunmacı güvenlik olarak isimlendirdiğimiz defensive security, diğeri ise proaktif güvenlik olarak adlandırabileceğimiz offensive security’dir. Pentest çalışmaları offensive security anlayışının bir sonucu olarak ortaya çıkmaktadır. Sızma testleri web uygulama güvenliği, yerel ağ güvenliği, mobil uygulama güvenliği, kaynak kod analizi, bulut sistemler, ddos saldırılarına karşı pentest, kablosuz ağ pentest ve voip pentest gibi alt dallara ayrılmıştır. Sızma testleri, müşteri tarafından belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızmaya çalışma işlemlerinin tamamına verilen addır. Sızma testlerinde amaç, güvenlik açıklığını bulmaktan öte bulunan açıklığının değerlendirip sistemlere yetkili erişimler elde etmektir. Çoğu firma veya kurum maliyet ve benzeri nedenlerden dolayı sızma testi yaptırırken kapsamı dar tutmakta ve önem arz eden kritik sunucuları teste tabi tutmaktadır. Oysaki siber saldırganlar için önemli veya önemsiz sistem yoktur! Sisteme giriş için kullanılacak bir yol gereklidir ve genellikle kötü niyetli kişilerin sistemlere girerken kullandıkları yollar kurum açısından en değersiz ve göz önünde olmayan sistemlerdir. Sızma Testi Hizmeti Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşit sızma testi vardır. Sızma testleri ve zafiyet tarama birbirine benzeyen fakat farklı kavramlardır. Zafiyet tarama hedef sistemdeki güvenlik açıklıklarının çeşitli yazılımlar kullanarak bulunması ve raporlanması işlemidir. Pentest çalışmalarında ise amaç sadece güvenlik açıklıklarını belirlemek değil, bu açıklıklar kullanılarak hedef sistemler üzerinde gerçekleştirilebilecek ek işlemlerin (sisteme sızma, veritabanı bilgilerine erişme gibi) belirlenmesidir.
Sızma Testi Metodolojisi
Sızma testlerini gerçekleştiren uzmanlar çalışmalarının doğrulanabilir, yorumlanabilir ve tekrar edilebilir olmasını sağlamak için önceden hazırlanmış olan metodolojileri kullanır ve elde ettiği tecrübelere göre bu metodolojileri geliştirir. Metodoloji kullanımı sızma test ekipleri için hayati önem taşımaktadır. Sızma testlerinde daha önce denenmiş ve standart haline getirilmiş kurallar uygulandığında daha başarılı sonuçlar elde edilir. İnternet üzerinden ücretsiz olarak edinilen bazı metodolojiler incelenerek yapılacak güvenlik denetim testlerinin daha sağlıklı ve tekrar edilebilir sonuçlar üretmesi sağlanır.
OWASP - OSSTMM - ISSAF - NIST - SP800-155
Layer X Security tarafından yapılan sızma testlerinde kullanılan kontrol listesi çok sayıda madde içermektedir ve BDDK Sızma Testleri kapsamı da dahil olmak üzere bilinen tüm sızma testi standartlarını desteklemektedir. Sızma testleri, kurumların anlık güvenlik açısından resimlerinin çekilmesi ve önerilerin sunulmasından ibaret olmasına rağmen çoğu kurum sızma testi aldık artık güvendeyiz şeklinde yaklaşımlar sergilemektedir. Ancak bu yanlış ve kurum için tehlikeli bir durumdur. Sızma testlerini gerçekleştirmek üzere bu yola giren çoğu kişinin bir zaman sonra karşılaşacağı temel maddelerden birisi meslek körlüğüdür. Her saat aynı işle uğraşan kişiler uğraştığı konuda ne kadar uzmanlaşmış olursa olsun bir müddet sonra farklı zamanlarda aynı sistemi incelerken farklı güvenlik zafiyetleri tespit etmekte güçlük çekmeye başlayacaktır. Bu noktada kurumların içeride barındırdıkları güvenlik uzmanlarını yanı sıra üçüncü bir göz ile sistemlerini test ettirmeleri gerekmektedir.
Penetrasyon Testi Çeşitleri ve Sunduğumuz Hizmetler ;
Web Uygulama Pentest Hizmeti:
Firmanın internete açık olan servisleri (Mail, DNS, Web, FTP gibi) üzerinden web güvenliği için pentest yapılarak sızma işlemleri gerçekleştirilir. Kullandığımız metodoloji ve örnek rapor için iletişime geçerek detaylı bilgi alabilirsiniz. Yapılan Web Uygulama Güvenlik testlerinde kurumunuzun internete açık olan tüm kaynakları incelenerek ve BDDK sızma testleri kapsamında profesyonel ekibimizin tecrübeleri ile uluslararası metodolojiler kullanılarak testlerimiz gerçekleştirilmektedir. Firmaya ait uygulamalara ve web servislerine yetkili/yetkisiz hesap bilgileri ile giriş yaparak denetimler gerçekleştirmesi sırasında otomatik araçlar kullanılmamaktadır.
Yerel Ağ Pentest Hizmeti:
Kurumun yerel ağı üzerinden yapılmaktadır. Yerel ağda bağlı herhangi bir istemcinin güvenlik açısından ne riskler getirebileceğini gösterme amaçlı olarak gerçekleştirilmektedir. Uzmanlarımız yerel ağınız üzerinde yapmış oldukları lokal testlerle zafiyetleri ve varlıkların yapılandırma hatalarını ortaya çıkarmaktadır.
Mobile Pentest Hizmeti:
Android ve iOS işletim sistemi için geliştirilmiş mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içermektedir. Gerekli durumlarda kaynak kod denetimi de yapılarak uygulamalarınızın güvenliği denetlenir ve zafiyetler raporlanır.
Cloud Pentest Hizmeti:
Kurumunuzun bulut (cloud) sunucuları üzerindeki zafiyetler için yapılan güvenlik testleridir. Bu testlerde sunucularınız üzerindeki yapılandırma hatalarından güvenlik cihazlarınızın performans oranlarına kadar birçok noktada sızma girişimleri bulunularak rapor hazırlanır.
Kaynak Kod Analizi Hizmeti:
Kaynak kod analizi yapılarak kurumunuz, bayileriniz, iş ortaklarınız veya kullanıcılarınız için üretmiş olduğunuz tüm uygulamalar test edilmektedir. Bu uygulamaların kaynak kodları incelenmekte ve barındırmış olduğu zafiyetler tespit edilerek siber saldırılara karşı önlem almanız sağlanmaktadır.
DDoS Pentest Hizmeti:
Kuruma ait olan tüm internet sistemi detaylı analiz edilerek sisteme servis dışı bırakma saldırıları (DDOS) gerçekleştirilmektedir. DDoS testleri 50Mbps – 2 Gbps arasında gerçekleştirilmektedir.
Kablosuz Ağ Pentest Hizmeti:
Firmanın iç ağlarında yönettiği kablosuz ağ altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara veya kötü niyetli kişilerin saldırılarına karşı sızma testlerinin yapılması ve raporlama hizmetini içermektedir. Kablosuz ağlarınızda bulunan yapılandırma hataları, açıklıklar ve diğer zafiyetler tespit edilerek raporumuza eklenmektedir.
Voip Altyapısı Pentest Hizmeti:
Firmanın kullandığı VOIP sisteminin detaylı analizi yapılarak voip sistemi üzerinden işlenebilecek sahtekarlıkların ve zafiyetlerin test edilmesi amaçlanmaktadır. VoIp altyapısındaki tüm zafiyetler tespit edilerek raporlanır ve açıklıkların kapatılması için öneriler sunulur.
Sosyal Mühendislik/Phishing, Son Kullanıcı Güvenlik Testleri:
Firma çalışanlarına ait e-posta hesaplarının internet üzerinden elde edilerek sosyal mühendislik saldırılarının gerçekleştirilmektedir. Yapılan sızma testinde internet üzerinden firma yerel ağına giriş denemeleri, APT ve benzeri saldırı teknikleri uygulanmaktadır. Aynı zamanda bu testler sonucunda çalışanlarınızın bilgi güvenliği farkındalığı ortaya çıkarılarak en zayıf halkaların tespiti amaçlanmaktadır.
Ekibimiz uluslararası geçerliliğe sahip CEH, OSCP ve TSE Sertifikalı Sızma Testi Uzmanı sertifikalarına sahiptir.
Müşterilerimize değer veriyoruz. Mesai saatleri içinde bizi dilediğiniz zaman ziyaret edebilirsiniz.
İrtibat no : +90 533 655 55 65
Pzt | 09:00 – 17:00 | |
Sal | 09:00 – 17:00 | |
Çar | 09:00 – 17:00 | |
Per | 09:00 – 17:00 | |
Cum | 09:00 – 17:00 | |
Cmt | Kapalı | |
Paz | Kapalı |
Telif Hakkı © 2024 Layer-X Security Bilgi Teknolojileri Danışmanlık ve
Dış Ticaret LTD ŞTİ. - Tüm Hakları Saklıdır.
GoDaddy Destekli
Web sitesi trafiğini analiz etmek ve web sitesi deneyiminizi optimize etmek amacıyla çerezler kullanıyoruz. Çerez kullanımımızı kabul ettiğinizde, verileriniz tüm diğer kullanıcı verileriyle birlikte derlenir.