Penetrasyon Testi Hizmeti

Pentest olarak da bilinen sızma testi, istismar edilebilir güvenlik açıklarını kontrol etmek için bilgisayar sistemlerinize karşı simüle edilmiş belirli aşamalardan oluşan sisteme sızma girişimleridir. Bir başka bir deyişle de; “Penetrasyon testi, bir sisteme, ağa, ekipmana ya da başka birtesise yapılan saldırıların, sistemin ya da “hedefin” gerçek bir saldırıya ne kadar savunmasız olduğunu kanıtlamak amacıyla yapılan saldırı simülasyonudur.” (Henry, 2012)

Penetrasyon testinin (Pentest) amacı; saldırganların yararlanarak kullanabilecekleri ve zararlar verebilecekleri sistemlerdeki zayıf noktaları,zafiyetleri onlardan önce tespit etmek ve kapatmaktır.

Penetrasyon testi (Sızma testi); şirketlerde ve kurumlarda yasal zorunluluklara ait gereksinimlerin (Örneğin; 6698 Sayılı Kişisel VerilerinKorunması Kanunu- Kişisel Veri Güvenliğinin sağlanması, Teknik Tedbirler kapsamında) karşılanmasını veya ilgili yönetim sistemlerinin gereksinim ve şartlarının karşılanmasını (Örneğin; ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 27701 Kişisel Veri Yönetim Sistemi) sağlamak amacı için de gerçekleştirilmektedir. Veri sorumlularının (Şirketler) mutlaka bu güvenlik testlerini şirketin Kişisel Veri İşleme Faaliyetlerinden kaynaklı riskleri ve Bilgi Güvenliği riskleri ile doğru orantılı olarak belirleyeceği periyodlarda (en az yılda bir kez olmak kaydıyla) yaptırması gereklidir.

Right Team Danışmanlık, alanında deneyimli ve uzman ekibi ile Müşterilerine kaliteli Penetrasyon testi hizmeti sunmaktadır.

PENETRASYON TESTİ (PENTEST) HİZMETİMİZ

Müşteri ile Penetrasyon Testi hizmeti öncesi kapsam belirleme ve analiz çalışması yapılacaktır. Bu çalışma Penetrasyon testi hizmetinin kapsamını belirleyecektir.

Kapsam belirleme ve analiz çalışması sonucunda belirlenen kapsam ve şartlar dahilinde müşterinin Bilişim Sistemleri güvenlik taramasından geçirilerek var olan yapının bir fotoğrafı çekilecek ve tespit edilen güvenlik açıkları ayrıntılı olarak rapor edilecektir.

Yapılacak olan bu çalışma bilinen bilişim sistemlerine, bilinen tüm yollarla sızma ve olası güvenlik açıklarını çıkartmak üzerine yapılacak ve aşağıda belirtilen Penetrasyon Testi Aşamaları gerçekleştirilerek tamamlanacaktır;

1. Planlama ve Keşif

2. Müdahale - Tarama

3. Erişim kazanma ve sürdürme

4. Yetki yüksetme

5. Analiz ve Raporlama

PENETRASYON TESTİ HİZMETİ GENEL KAPSAM VE ŞARTLARI

1. Açılış toplantısının planlanması ve gerçekleştirilmesi (Gerçekleştirilecek penetrasyon testi yöntemleri hakkında müşteriye bilgi verilecektir. Kritik ortamlar ve sistemler hakkında müşteriden bilgi talep edilecek ve testler bu bilgiler dikkate alınarak planlanacaktır.)

2. Pasif Bilgi Toplama (Local ve Global Bilgi Toplama: İç ve dış network, Sistem kaynakları, DNS ve diğer kayıtların kontrolü)

3. Aktif Bilgi Toplama (Log kaynakları üzerinden aktif bilgi toplanması işlemi)

4. Ağ Analizi (Network topolojisi, Aktif ve Pasif cihazların analizi)

5. Port Analizi (Tüm local sistem üzerinde açık portların ve port güvenlik zafiyetlerinin belirlenmesi)

6. Sistem Analizi (Tüm sistemde Black Box, White Box zafiyet taraması)

7. Yetkisiz Erişim Sağlama (Atak yöntemleri denenerek sistem güvenlik seviyelerinin kontrolü)

8. Firmanın x adet çalışanının e-mail hesaplarına oltalama metodu ile aldatıcı mail gönderimi yapılarak çalışan personelin bilgi güvenliği konusundaki bilinç seviyesi ölçülecek ve sonuçları firma ile paylaşılacaktır. ( Kapsamda talep edildi ise)

9. Güvenlik testi sonuç raporunda tespit edilen zayıflıkların tekrar tespit edilip edilmediğinin doğrulama testi (Raporun iletildiği tarih itibarıyla 3 ay içerisinde gerçekleştirildiğinde ücretsiz olarak yapılır. 3 ay ı geçen doğrulama talepleri yeniden fiyatlandırılır.)

10. Risk Değerlendirmesi ve Raporlama (Tespit edilen zafiyetler ve bu zafiyetlerin nelerden kaynaklandığı ve nasıl kapatılabileceğine dair çözümlerin bulunduğu ayrıntılı rapor)

11. Yerel ağ testleri Black Box yöntemi kullanılarak başlatılır. Kademeli olarak White Box yöntemine geçiş yapılır. Bu geçiş esnasında ihtiyaç duyulabilecek izinlerin müşteri tarafından verilmesi gerekir.

12. E-mail üzerinden yapılacak testler eğer kurum tarafından çalışan profilinde email adresi yaratılması gerektiriyor ise (sosyal mühendislik ve ileri seviye email güvenlik testleri için) Kurum tarafından email adresi açılması gerekmektedir.

13. Kapanış Toplantısının planlanması ve gerçekleştirilmesi (Penetrasyon testleri tamamlandıktan sonra gerçekleştirilen testler hakkında elde edilen sonuçlara ait bulguların değerlendirilmesi, müşteri tarafından anlaşılmasının sağlanması ve bulgular hakkında karşılıklı mutabık kalındıktan sonra Final raporunun kesinleştirilmesi)

14. Final raporunun müşteriye gönderilmesi

PENETRASYON TESTİ (PENTEST) HİZMETİ KAPSAM DIŞI KONULAR

1. Pentest sonrasında tespit edilen açıkların ve zafiyetlerin giderilmesi.

2. Kullanıcı bilgisayarları ve sunucu bilgisayarlarına teknik destek verilmesi.

Penetrasyon Testi Hizmeti kapsamı dışında olacaktır. Bu hususlar ile ilgili hizmet müşteri tarafından talep edilirse ayrıca fiyatlandırılacaktır.

GİZLİLİK SÖZLEŞMESİ

Teklifin kabulünü müteakip Penetrasyon Testi Hizmet çalışması başlamadan önce her iki tarafın sorumluluklarını belirten bir Gizlilik Sözleşmesi imzalanacaktır.