Sızma Testi Hizmeti

Günümüzde kurum ve kuruluşların en önemli varlıklarının başında bilgi gelmekte; bilgi sistemlerinde yaşanabilecek güvenlik açıklığı, kurumun/kuruluşun bekasına ciddi zararlar verebilmektedir. Bilginin işlendiği, taşındığı ve saklandığı sistem ve ağlar, düzenli olarak ‘sızma’ testlerinden geçirilerek, dıştan ve içten olası siber saldırılara karşı dayanıklılığının sınanması gerekmektedir. Oran Teknoloji sızma testini, TSE standartlarında yapabileceği bireysel/kurumsal sertifikalara sahiptir.

Sızma testi üç aşamalı bir etkinliktir:

* Bilgi toplama: Bilgi sistemin işleyişiyle ilgili bilgi açık kaynaklardan elde edilerek; Port ve Servis taraması yapılarak test uygulamasının nasıl gerçekleştirileceğini belirlemektir.

* Test uygulaması: Öncelikle güvenlik açıklıkları taranarak Sistemlerin ve Uygulamaların güvenliği sınanır. Sonrasında sırasıyla Parola güvenliği sınanır, web uygulamalarındaki güvenlik açıklıkları sınanır, web uygulaması istekleri incelenir ve çalışan servislerin yama ve güvenlik açıklarının tespit edilir. Ardından, Oran Teknoloji tarafından geliştirilen özgün yazılımlarla sistemin yeniden taranarak uygulamanın doğrulanması sağlanır.

* Raporlama: Sızma Testi Sonuç Raporu ile Sızma Testi Doğrulama Raporunu kapsar. Raporlar özetle bilgi sistemleri ve kullanıcılarıyla ilgili gözlemleri ve önlemleri içerir.

Özetle:

-Sızma testleriyle kurumun/kuruluşun dışındaki uzman bir gözlemci tarafından, sistemlerin ve uygulama yazılımlarının güvenlik açıklıkları bulunur ve internet üzerinden gelebilecek siber saldırıların çoğu ortaya çıkarılır.

-Sonrasında başarıyla sonuçlanacak simüle edilmiş bir siber siber saldırıların olası iş ve iş sürekliliğine olan etkilerini belirleyecek Uygulama Güvenliği Analizi yapılarak, gözlemleri ve önlemleri içeren rapor sunulur. Rapor bilgi sistemlerdeki güvenlik açıklıklarını kapatacak ürün tedariki ve/veya personelin bilgisini artıracak eğitim alınması önerilerini içerir.

Uygulama beş ayrı platformda gerçekleştirilir:

* İşletim Sistemi:

– Port taraması yapılarak sisteme giriş noktaları belirlenir.

– Giriş noktalarında çalışan tüm servisler belirlenir ve gereksiz olanlar ortaya çıkarılır.

– Çalışan sistemlerdeki uygulama yazılımlarının yama ve güvenlik açıklıkları belirlenir ve güvensiz protokoller ortaya çıkarılır.

– Toplanan bulgularla sızma testi yapılarak sisteme erişilmeye çalışılır.

– Sistem üzerinde tanımlı kullanıcılara ilişkin parolaların kırılmasına yönelik denemeler yapılır.

* Veri Tabanı:

– Veri tabanı yapısı belirlenir, güvenlik açıklıkları taranır ve bulunmaya çalışılır.

– Çeşitli kategorilerde sınamalar yapılır.

– Kimlik ve Parola kontrolleri yapılarak erişim güvenliği sınanır.

* Yerel Alan Ağı:

– Sistemin topolojik konumlandırılması incelenerek, yapılandırmadaki yanlışlıklar belirlenir.

– Yerel alan ağına saldırıların olup olmadığı değerlendirilir.

* Web Uygulaması:

– XSS, LFI, RFI, CSRF, SQL Injection vb. Güvenlik açıklıklarına karşı sistem incelenir.

* Mobil Uygulamalar:

– Ağ trafiğinin sınanması yapılır.

– Uygulama güvenliği denetimleri yapılır.