Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti

Sızma Testi (Pentest / Penetration Test), Sosyal Mühendislik Testi ve DDOS / Yük Testi Hizmetleri ile siber güvenlik seviyenizi artırın.

Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti

Sızma testi (pentest / penetrasyon testi) hizmetimiz sistem ve uygulama katmanlarındaki teknolojilere ilişkin açıklıkları tespit ederek gizlilik ihlali, veri manipülasyonu ve hizmet kesintisi risklerinin ortadan kaldırılabilmesini sağlar.

Kullanıcı katmanına yönelik sosyal mühendislik testlerimiz bu katmanın farkındalık seviyesinin belirlenebilmesi ve güçlendirilmesini hedefler.

Sızma Testi (Pentest / Penetrasyon Testi) Nedir?

Sızma Testi (Pentest, Penetrasyon Testi  ya da Ethical Hacking olarak da anılır), siber korsanların uyguladıkları teknikler ve araçları kullanarak bilgi ve iletişim teknolojilerimiz üzerindeki zayıflıkları tespit etmeyi amaçlayan bir siber güvenlik test faaliyetidir.

Neden Sızma Testi (Pentest / Penetrasyon Testi) Yaptırılmalıdır?

Sızma testinin sağladığı faydalar şunlardır:

  • Somut Değerlendirme: Süreç ve altyapı kaynaklı problemlerin somut olarak ortaya konabilmesi
  • Hızlı Kazanımlar: Kolayca düzeltilebilecek zayıflıklar hakkında zamanında bilgi sahibi olunabilmesi
  • Riskleri Zamanında Azaltma: Siber güvenlik yönetim sisteminin etkinliğini ölçme kriteri olması
  • Anahtar Performans Göstergesi: Hemen ortadan kaldırılamayacak ancak etkisi azaltılabilecek riskler hakkında zamanında bilgi sahibi olunabilmesi

Sızma Testi (Pentest) Türleri Nelerdir?

Network Pentest (Ağ Sızma Testi)

Network Pentest (Ağ Sızma Testi) ağınıza ve ağınıza bağlı sistemlerinize erişebilen bir siber korsanın kötüye kullanabileceği zayıflıkların belirlenmesini ve sistemlere zarar vermemek kaydıyla ne kadar ileri gidebileceğinin anlaşılmasını hedefler.

Web Application Pentest (Web Uygulama Sızma Testi)

Web teknolojilerine ve uygulama katmanındaki risklere odaklı bir metodoloji ile gerçekleştirilir. Ağ sızma testinden özellikle mantık hatalarına yönelik ve detaylı fuzzing testleri ile ayrışır.

Mobile Application Pentest (Mobil Uygulama Sızma Testi)

Mobile Application Pentest (Mobil Uygulama Sızma Testi) sunucu servisleri güvenliği açısından web uygulama sızma testlerine benzemekle birlikte mobil uygulama teknolojilerine has özel risklerin de denetimini ve mobil platformlar hakkında derin bilgiye sahip olmayı gerektirir.

Statik Kod Analizi / Kaynak Kod Gözden Geçirme

Statik Kod Analizi (Kaynak Kod Gözden Geçirme), derlenebilir durumdaki bir uygulama projesinin kaynak kodları incelenerek güvenlik zafiyetlerinin tespit edilmesidir. Belli alanlardaki avantajları ile dinamik pentest çalışmalarını destekleyici bir güvenlik test türüdür.

Social Engineering (Sosyal Mühendislik) Testi

Social Engineering (Sosyal Mühendislik) testleri organizasyon personelinin siber güvenlik farkındalığını test etme amacıyla ve etkili bir farkındalık eğitim aracı olarak kullanılır. Siber güvenlik testlerine insan katmanını da dahil ederek bütünler.

DDOS ve Load Test (Yük Testi)

DDOS (Distributed Denial of Service) yani Dağıtık Hizmet Engelleme Testleri gerçek DDOS saldırılarını simüle ederek organizasyonun bu saldırılara hazırlığını test etmeyi amaçlar. Load (Yük) Testleri ise geliştirilen uygulama ve altyapıların beklenen yükleri karşılayıp karşılayamayacaklarını, performans ve limitlerini test etmeyi hedefler.

Sızma Testi (Pentest / Penetrasyon Testi) Yaklaşım Türleri

Sızma Testi çalışmaları ile ilgili yaklaşım türleri ve çeşitli tanımlar aşağıdaki gibidir:

  • External Testing (Dış Ağ Testleri): External testler organizasyonun internetten erişilebilen sunucu ve cihazlarını (DNS, e-posta, web sunucuları, firewall cihazları gibi) hedef alır. Amaç, organizasyon dışından bir saldırganın yapabileceği atakları ve atak senaryolarını görmektir.
  • Internal Testing (İç Ağ Testleri): Internal testler kurum ağına erişim sağlayabilmiş bir saldırgan tarafından ulaşılabilecek sonuçları görmeyi hedefler. Bu erişim anonim bir kullanıcı olarak sağlanabileceği gibi bir personel hesabı kullanılarak da sağlanabilir.
  • Blind Testing (Kör Test): Blind testing yaklaşımında test ekibine sadece organizasyonun ismi verilir. Bu tür bir test organizasyonun siber güvenlik ekibine gerçek bir saldırı durumunda izleme ve hazırlık durumlarını değerlendirme imkanı verir.
  • Double Blind Testing (Habersiz Kör Test): Double blind testing yaklaşımında organizasyonun siber güvenlik ekibi sızma testi yapılacağından habersizdir. Dolayısıyla bir ön hazırlık yapma imkanları yoktur, o nedenle gerçek bir senaryoda ne kadar hazırlıklı oldukları gözlenebilir.
  • Targeted Testing (Hedefli Testi): Hedefli testte sızma testi (pentest) ekibi ile siber güvenlik ekibi birlikte ilerler. Siber güvenlik ekibi test aktivitelerini ve saldırgan bakış açısını görür. Dolayısıyla targeted testing siber güvenlik ekipleri için değerli bir eğitim imkanı sunar.
  • Black Box Testing (Kara Kutu Testi): Kara kutu testi blind testing ile aynı anlama gelir ve test ekibi ile hiçbir teknik bilgi paylaşılmayan test türüdür. Uygulama pentest’leri için ise anonim kullanıcı profili ile yapılan testlere verilen isimdir.
  • White Box Testing (Beyaz Kutu Testi): Beyaz kutu testlerinde test ekibine hedef ağ veya uygulama hakkında teknik bilgi sağlanır. Paylaşılan bilgiler IP adresleri, network altyapı şemaları, mevcut sunucu ve servisler ile uygulama kaynak kod (source code) bilgilerini içerebilir.
  • Gray Box Testing (Gri Kutu Testi): Test ekibi ile kara kutu ve beyaz kutu testlerinin arasında bir seviyede kısıtlı seviyede bilgi paylaşılır. Uygulama sızma testleri (pentestleri) için gray box testi sıradan bir kullanıcı hesabı ile uygulamaya erişim anlamına gelir.

Sızma Testi (Pentest) Standartları

Sızma Testi konusunda uzman olan her firma uzun yıllar içinde kendi metodolojilerini ve zafiyet veritabanını oluşturur. BTRisk’in pentest metodolojileri ile ilgili özet sunumları yukarıdaki video kayıtlarında bulabilirsiniz. Bununla birlikte pentest alanında genel kabul görmüş metodolojileri, zafiyet veritabanlarını, açıklık derecelendirme rehberleri ve en iyi uygulamaları da dikkate alırız. Bunlar arasında aşağıdakiler sayılabilir:

Sızma Testi (Pentest) Yükümlülükleri

Sızma Testi (Pentest) hemen her organizasyonun gün geçtikçe daha fazla ihtiyaç duyduğu bir siber güvenlik faaliyetidir. Ancak bazı organizasyonlar için pentest bir opsiyon değil yükümlülüktür. Bu yükümlülüklere örnek olarak aşağıdakiler verilebilir:

  • Gümrük ve Ticaret Bakanlığı – Elektronik Ticarette Güven Damgası Hakkında Tebliğ – https://www.guvendamgasi.org.tr/
    Madde 5.1.b Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standardları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırır. Daha detaylı bilgi için https://www.btrisk.com/guven-damgasi-sizma-testi/
  • Bankacılık Düzenleme ve Denetleme Kurumu – Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik – https://www.bddk.org.tr
    Madde 18.7 Banka, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırır.
  • Bilgi Teknolojileri ve İletişim Kurumu – SOME ve ISO27001 gereksinimleri – https://www.btk.gov.tr
    Yayınlanmış olan SOME rehberi ve ISO27001 gerekliliği sızma testlerine işaret etmektedir.
  • PCI Data Security Standard – https://www.pcisecuritystandards.org
    Madde 11.3 İlgili organizasyonun belirli şartları içeren bir sızma testi metodolojisi uygulamasını zorunlu tutmaktadır.

Sızma Testi ile İlgili Sorular

Sızma testi (pentest) firması nasıl seçilir?

Sızma testi (pentest) çalışmaları kurumun siber güvenlik ihtiyaçları için yapılıyor olsa da bağımsız dış ve iç denetimlerde de sorgulanan önemli bir kontrol maddesidir. Sızma testi çalışmalarının yeterliliği değerlendirilirken kullanılabilecek en objektif kriter sızma testi (pentest) firmasının ve testi yapan ekibin sertifikasyonlarıdır. Ülkemizde sızma testi hizmeti veren kurumlar için TSE tarafından onaylanma imkanı bulunmaktadır. Personel sertifikasyonu da TSE ve diğer pek çok kurum tarafından sağlanmaktadır.

Sızma testi (pentest) ve zafiyet tarama (vulnerability scan) arasındaki fark nedir?

Sızma testi (pentest) çalışmaları sızma testi uzman katkısının yoğun olduğu ve dolayısıyla daha kritik bulguların tespit edilebildiği siber güvenlik test çalışmalarıdır. Zafiyet tarama (vulnerability scan) çalışmaları ise siber güvenlik tarama aracı yoğun bir süreç olduğundan genellikle bariz açıklıkların tespiti konusunda etkili olabilirler. Zafiyet tarama çalışması sızma testi (pentest) çalışmalarının da ilk aşamalarında kullanılır.

Sızma testi (pentest) ve siber saldırı tatbikatı (red teaming) arasındaki fark nedir?

Sızma testi (pentest) çalışmalarında genellikle çalışma kapsamı belli olup ağ, sistem ve uygulama katmanlarındaki açıklıkların bulunması hedeflenir. Red teaming çalışmalarında ise gerçek bir saldırı senaryosu simüle edilir. Red team test ekibi fiziksel erişim ihlali ve sosyal mühendislik gibi etkili yöntemlerle hedeflerine daha yüksek yetkilerle erişebilir, dolayısıyla elde ettikleri sonuçlar genellikle daha ileri seviyelere ulaşır. Sızma testi (pentest) çalışmaları teknik altyapı güvenliğine odaklanırken red teaming çalışmaları daha çok blue team, yani siber güvenlik ekibinin saldırı işaretlerini ne kadar etkili tespit edebildiklerini test edebilmek için kullanılır.

Sızma testi (pentest) proje adımları nelerdir?

Sızma testi (pentest) proje adımları TS13638 ve diğer pek çok standart ve çerçevede tanımlanmıştır. Ancak kısaca belirtmek gerekirse gizlilik sözleşmesinin imzalanması, kapsam belirleme ve planlama, pentest adımlarının uygulanması, yönetici özeti ve teknik bilgileri içerecek raporun hazırlanması, raporun aktarılması, ilgili açıklıklar kapatıldıktan sonra doğrulama testinin yapılması adımlarından oluşur.

Sızma testi (pentest) yaptırmak riskli midir?

Sızma testi (pentest) yaptırmak belli bir kesinti ve veri kaybı / bozulması riski barındırır. Bu nedenle kritik sistemler ve uygulamalar üzerinde pentest yapılırken otomatik araçların kullanımı sınırlandırılmalı, pentest aktiviteleri daha çok uzman personel tarafından manuel yöntemlerle yapılmalı, test zamanı operasyonel etkinin en az olacağı zaman aralıkları ile sınırlandırılmalıdır. Buna ek olarak sızma testi (pentest) ekip üyeleri sıklıkla kritik sistem ve verilere erişir, bu nedenle sızma testi (pentest) firma ve personelinin etik olduğundan emin olunması gerekir. Bunun için sızma testi firmasının kendi bünyesinde uyguladığı insan kaynakları güvenlik kontrolleri, firmanın personel devir hızı ve personelin sızma testi uzmanlık kariyerindeki kıdemleri değerlendirilmelidir.

Sızma testi (pentest) araçları nelerdir?

Sızma testi (pentest) projelerinde pentest uzmanının yetkinliği kullanılan araçlardan çok daha önemlidir. Çünkü test aktivitelerinin hemen her adımı pek çok araç alternatifinden birisi seçilerek uygulanabilir. Önemli olan hangi test adımında hangi aracı kullanacağını bilmektir, ayrıca aracın neden kullanılacağı bilinmeden aracın doğru kullanılması da mümkün olmayacaktır. Bununla birlikte genel ağ taramalarında Nessus, Qualys, port taramalarında Nmap, açıklıkların kullanılmasında Metasploit, web ve mobil uygulama testlerinde web uygulama zafiyet tarayıcıları ve Burp Suite, mobil uygulama sızma testlerinde emülatör ve test cihazı kullanımlarını tipik sızma testi araçlarına örnek olarak verebiliriz.

Sızma testi (pentest) uzmanlığı için izlenmesi gereken yol nedir?

Sızma testi (pentest) uzmanlığı çok geniş bir alanı kapsaması dolayısıyla uzun bir öğrenme süreci gerektirir. Her ne kadar pentest araçları ile internetteki rastgele hedeflere sızmak olası olsa da, belli bir hedef üzerindeki herkesin tespit edemeyeceği açıklıkları tespit etmek için hem temel teknoloji bilgisi hem de pentest yöntem ve araçlarına hakimiyet gerekmektedir. Biz personel profilimizi oluştururken tercihen sistem operasyon ve uygulama geliştirme alanlarında deneyim sahibi olan arkadaşlarımızı tercih ettik ve ediyoruz. Bu profildeki uzmanların sızma testlerine kattığı değer daha yüksek olmaktadır. Temel sızma testi yöntem ve araçları ile ilgili Savunma Sanayii Başkanlığı (SSB) himayesindeki Türkiye Siber Güvenlik Kümelenmesi tarafından ve pek çok üniversitemizin siber güvenlik kulüpleri tarafından siber güvenlik kamp ve eğitimleri düzenlenmektedir. Bu imkanlardan faydalanılmalı, ancak iyi bir sızma testi uzmanı, ya da daha geniş bir tanımla siber güvenlik uzmanı uygulama geliştirme ve sistem operasyonuna da yakın olmalıdır.

Neden BTRisk?

TSE Onaylı Sızma Testi Firması (A Seviye): Dünyada sayılı ülke tarafından uygulanan sızma testi (pentest) firmalarının belgelendirilmesi ve seviyelendirilmesi ülkemizde TSE tarafından uygulanmaktadır. TSE TS13638 standardında belirttiği şartları her yıl denetleyerek onayladığı sızma testi firmaları hakkında bağımsız güvence sunmaktadır. TS13638 standardı personel yetkinlik şartlarını da tanımlamaktadır.

Derin Teknoloji Yetkinliği: Pentest’in her alanı testi yapılan teknoloji hakkında derin bilgi gerektirir. BTRisk pek çok sızma testi firmasından farklı olarak aynı zamanda bir teknoloji firmasıdır. Yazılım ve sistem geliştirme uzmanları sızma testi (pentest) yetkinliklerine sahip olduğu gibi sızma testi (pentest) uzmanları da teknoloji geliştirme yetkinliklerine sahiptir. Bu yetkinlik seti bize özellikle uygulama sızma testleri, sosyal mühendislik ve DDOS / yük testi platformlarının geliştirilmesinde avantaj sağlamaktadır.

Deneyim ve Müşteri Memnuniyeti: 2009 yılından bu yana hizmet veren kurumumuzda personel devir hızı sektör ortalamasına göre oldukça düşüktür. Sızma testi (pentest) müşterilerimizin pek çoğu ile uzun yıllar çalışırız. Müşterilerimizin güvenliği ve bizden beklenen faydayı üretmemiz ticari başarımızdan önemlidir.


Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti
Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti – BTRisk

Pentest (Sızma Testi) Nedir?

Pentest (Sızma Testi) Nedir? (Video)