Sızma (PenTest) Süreci beş aşamalı bir süreçtir. Bu aşamalar kısaca şöyle tanımlanabilir.
Aşama 1 | Keşif
Keşif, hedefe ait temel veri veya istihbarat toplama eylemidir. Veriler saldırıyı daha iyi planlamak için toplanır. Keşif aktif olarak (doğrudan hedefe) veya pasif olarak (dolaylı yollarla) gerçekleştirilebilir.
Aşama 2 | Tarama
Tarama aşamasında hedefler üzerinde daha fazla istihbarat toplamak için teknik araçların uygulanmasını gerektirir, bu aşamada araçlar kullanılarak bulunan zafiyetler derinlemesine incelenmez. Tarama sürecinde amaç hangi yoldan hedefe varılacağının tespitidir.
Aşama 3 | Erişim Elde Etme
Aşama 3 ağ içerisinde bir veya daha fazla ağ cihazının doğrudan yönetilmesi veya kontrolünü ele alma olanağına sahip olmaktır. Böylelikle hem yönetilen cihazlarla alakalı veriler toplanabilirken, mevcut konumdan başka noktalara erişim üzerine yeterli imkana sahip olunmasıdır.
Aşama 4 | Erişimi Korumak
Erişimi sürdürmek mümkün olduğu kadar çok veri toplamak ve hedef ortam içinde ısrarlı olabilmek için gerekli adımları atmayı gerektirir. Bu aşamada amaç ağ içinde sahip olunan erişim konumunun güvenlik sistemlerine yakalanmadan korunmasıdır. Böylelikle mümkün olan tüm verilerin toplanması işlemi devam edebilir.
Aşama 5 | İzlerin yok Edilmesi
Son aşamada test edici kurum ağı içinde mümkün olan tüm açıklıkları kullandı ve kritik verileri elde edebilmiştir. Bundan sonrası farkedilmeksizin ortamdan ayrılmaktır. Öncesinde erişim sağlanan tüm cihazlarda yapılanları ön tanımlı hale getirerek arkada bırakılan izlerin ortadan kaldırılması ihmal edilmeyecektir.
Uygulama Testleri, bir uygulamanın güvenlik kontrollerinin etkinliğini, gerçek açıklanabilir güvenlik açıklarının oluşturduğu riskleri vurgulayarak ortaya çıkarmayı amaçlayan bir “etik saldırıdır”. ITSAFE aşağıdakileri içeren bir dizi uygulama testleri hizmeti sunmaktadır:
- Web Uygulama Testleri
- Web Servis Testleri
- Mobil Uygulama Testleri
- Güvenli Kod Gözden Geçirme
İç ve Dış testler temelinde kurum altyapısının iyileştirilmesi ve varsa açıklıklar öne çıkarılmasını hedefleyen çalışmalardır. Test süresince son kullanıcılar, sunucular, iç ağlar, dış bağlantılar ve diğer kurum altyapısında kullanılan uygulamalara ait zayıflıklar zararlı bir saldırı simüle edilmek suretiyle ortaya çıkarılmaktadır. Testlere ait hizmetlerimiz şunları içerir:
- İç Ağ Testleri
- Dış Ağ Testleri
- Kablosuz Ağ Güvenliği Testleri
- Son Kullanıcı Yazılım Testleri
Bulut ve Sanallaştırma testlerinde sanallaştırma teknolojilerindeki kusurları hedeflemek ve fiziksel altyapıyı desteklemek için özel olarak tasarlanmış beş test başlığı mevcuttur. Bunlar:
Sanal Erişim Denetimi Testi – Sanal ağ erişim denetimlerini işlemek için çeşitli teknikler kullanır.
Hipervizör Sızma Testi – Tüm sanal ortam üzerinde kontrol elde etmek için hiper yönetici katmanını kırmak amacıyla sanal makinedeki güvenlik açıklarından yararlanır.
Sanallaştırma Yönetimi Saldırıları – Yönetim sistemlerini manipüle etme ve taviz vermeye odaklanır.
Bulut Altyapı Testi – Bulut ortamındaki artan ayrıcalıklara odaklanır.
Bulut Uygulama Testi – Bulut tabanlı uygulama içerisindeki güvenlik açıklarını ve erişim kontrolü hatalarını tespit etmeye odaklanır.
Bir çalışanın zaafını kullanarak bir kuruma sızmanın en sade yoludur. Bu yöntem saldırganlar tarafından iyi bilinir ve son birkaç yıl içinde birçok yüksek profilli saldırı için giriş noktası olmuştur.
ITSAFE personelinizin güvenlik bilincinin etkinliğini test etmek için aşağıdaki hizmetleri sunar:
- Sosyal Mühendislik Farkındalık Eğitimi
- Sosyal Medya Sızma Testi
VOIP mevcut internet bağlantınızı kullanarak telefon görüşmeleri yapmanızı sağlar. Birçok kurum telekomünikasyon maliyetlerini azaltmak ve iletişim işlevlerini arttırmak için VOIP’i tercih edebilir. Tüm teknolojilerde olduğu gibi VOIP ağına da saldırganlar tarafından ataklar gerçekleştirilebilir. Bu süreç beraberinde yeni riskler getiriyor. VOIP uygulamaları genellikle güvenlikten önce çağrı kalitesini önemser. Dolayısıyla VOIP mimarisi tasarımında büyük güvenlik açıkları ortaya çıkabilir ve potansiyel saldırı fırsatlarını artırabilir.
VOIP Güvenlik testleri 4 başlıkta gruplandırılabilir:
- Erişim Kontrolleri
- Şifreleme
- Protokoller
- Güvenlik Sıkılaştırma