Penetrasyon Testi

BSI, CREST onaylı bir penetrasyon testi sağlayıcısıdır. Yetenekli etik hackerlarımız, kötü niyetli siber saldırganların düşünce yapılarını benimseyerek şirketlerin güvenlik açıklarını tespit etmek, geniş kapsamlı araçları kullanarak bu düşünce yapısını uygulamaya dökmek ve taklit etmek için eğitildi.

Altyapı, web uygulamaları, sosyal mühendislik ve tabi ki mobil araçlar gibi organizasyon güvenliğinin tüm yönlerini kapsayan, geniş kapsamlı penetrasyon testi hizmetleri sunuyoruz.

Sistemleri bir saldırganın gözünden bakarak endüstrideki en iyi uygulamalara karşı denetlemek için risk tabanlı bir yaklaşım kullanıyoruz.

1. Belirli bir grup saldırı vektörünün işe yararlılığını belirlemek
2. Daha düşük riskli açıkların suistimal edilmesi sonucunda ortaya çıkan yüksek riskli açıklar da dahil olmak üzere mevcut tüm açıkları sırayla tespit etmek
3. Otomatik ağ veya uygulama açığı tarama yazılımları ile tespit etmesi zor veya imkansız olabilen açıkları tespit etmek
4. Başarılı saldırıların kuruluşa ve operasyonlarına olası etkilerini değerlendirmek
5. Ağ savunucularının saldırıları tespit etme ve bunlara karşılık verme kabiliyetini test etmek
6. Güvenlik personeli ve teknolojilerine yapılan yatırımdaki artışı gerekçelendirmek

Penetrasyon testleri, tam güvenlik denetiminin önemli bir parçasıdır. Örneğin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı'na (PCI DSS) göre penetrasyon testinin düzenli olarak ve sistemde herhangi bir değişiklik yapıldıktan sonra gerçekleştirilmesi zorunludur.

Web ve mobil uygulamalarından şirket içi veya dışı altyapı testine, organizasyonunuzun altyapısındaki sunuculardan iş istasyonları veya ağ aygıtları gibi bileşenlerin incelenmesine kadar geniş bir yelpazede bir çok penetrasyon test hizmetleri sunuyoruz.

Sizin için uygun olan penetrasyon testlerini belirlemek için sizinle birlikte çalışıyoruz. Bu testler kuruluşunuzun ihtiyaçlarının karşılandığından emin olmanızı sağlamakla beraber, organizasyonunuzun güvenlik durumu ve riskleri konusunda da size güvence verir.

Penetrasyon testinin ardından detaylı bulguların ve çözüm önerilerinin bir yönetici özeti şeklinde verildiği teknik düzeyli bir rapor sunuyoruz.

Hizmetlerimizin tam özetini aşağıda bulabilirsiniz. 

Güvenli bir altyapının siber saldırılara karşı dayanıklı organizasyonların temelini oluşturduğuna inanıyoruz.

Penetrasyon testi uzmanlarımız, sunucular, iş istasyonları, siber alanlar, sanal ortamlar, ağ aygıtları ve ağ erişim kontrolleri üzerinde hem şirket içi hem de şirket dışı altyapı testleri gerçekleştirir. 

Birçok organizasyon, işlerinin yürütülmesinde uygulamalara büyük ihtiyaç duyar. Bu uygulamalar, sıklıkla organizasyonun dünyanın her yerinden erişilebilen dijital mağaza vitrini şeklindedir. Bu durumda yaygın olarak bilgi sunulması, çalışanlara veya müşterilere işlevsellik sağlanması veya organizasyonun tüm veri işleme ihtiyaçları için bir omurga sağlanması söz konusudur.

Dolayısıyla bu uygulamaların güvenliği çok önemlidir. Penetrasyon testi ekibimiz, web uygulamaları, web hizmetleri, ikili sisteme dayalı uygulamalar (donatımlı istemci) ve ana sistem dahil her türlü uygulamanın denetlenmesinde derin tecrübeye sahiplerdir.

Altyapı ve uygulamalara ek olarak, arka plandaki sunucuların güvenliği de zafiyetin önlenmesinde öneme sahiptir.

Ancak, bir zafiyet yaşanması halinde müdahalelerin yeterince sınırlandırılması ve saldırganın sistemde veya altyapıda kolayca hareket edememesi için sıkılaştırma yapılması önemlidir. Windows, Linux, Solaris ve AIX dahil tüm işletim sistemlerinin yanı sıra veri tabanları ve web sunucuları gibi yaygın bileşenler için sunucu derleme inceleme hizmeti sunuyoruz. Ayrıca kötü niyetli şirket içi kullanıcıları veya çalınmış aygıtları taklit etmek için iş istasyonları ve dizüstü bilgisayarlar gibi son kullanıcı aygıtlarında da düzenli olarak derleme incelemesi gerçekleştiriyoruz.

CIS, NIST veya NCSC tavsiyeleri gibi yaygın karşılaştırma standartlarının kullanımıyla sunduğumuz derleme incelemesi size bilgi güvenliği konusunda gönül rahatlığı ve güvence sunuyor.

Organizasyonlar gittikçe artan bir sıklıkla hem müşterileriyle hem de çalışanlarıyla etkileşime girmek için mobil uygulamalar geliştiriyor ve kullanıyor. Bu uygulamaların geleneksel web uygulamalarıyla aynı güvenlik seviyesine sahip olması önemlidir, bu nedenle Android, Apple, Windows Phone ve BlackBerry uygulamaları dahil tüm yaygın platformlar için kapsamlı bir mobil uygulama penetrasyon testi hizmeti sunuyoruz.

Çalışanlarınız mobil aygıtlar kullanıyorsa, mobil aygıtların yapılandırma kilidinin ve mobil aygıt yönetimi (MDM) ortamının denetlenmesi mümkündür.

Bir organizasyondaki ağ aygıtları, altyapı bünyesindeki iletişimin omurgasını oluşturur. Bu aygıtlardan birinde yaşanan zafiyet, organizasyonun genel güvenliği üzerinde yıkıcı etkilere sebep olabilir.

Ağ aygıtı inceleme hizmetimiz, Cisco, Checkpoint, HP, Juniper, Palo Alto, Brocade, SonicWall ve Fortigate dahil önemli birçok üreticiye ait aygıtların yürütme yapılandırması, yerleşik yazılım sürümü ve güvenlik duvarı kural setini denetleyerek bu tür aygıtların durumuna ilişkin güvence vermeyi amaçlar.

Kablosuz erişim noktaları, saldırganların bir altyapıya güvenli bir mesafeden saldırabilmesini sağlar ve bu saldırılar çoğu zaman fark edilmez.

Kablosuz ağ testi ve yapılandırma inceleme hizmetimiz, bu tür kablosuz ağların güvenli bir şekilde kurulduğundan ve yüksek güvenliğe sahip olduğundan emin olmayı amaçlar.

Hizmete kablosuz erişim noktası incelemeleri, WLAN kontrolcüsü ve istemci aygıtı incelemeleri, saha incelemeleri ve izinsiz erişim noktası taramaları dahildir.

Endüstriyel Kontrol Sistemleri (ICS) olarak da bilinen Merkezi Denetleme Kontrol ve Veri Toplama (SCADA) sistemleri, elektrik enerjisi üretimi, imalat, su arıtma, petrol ve gaz dahil olmak üzere çeşitli endüstrilerde sıklıkla kullanılıyor.

Uzman SCADA penetrasyon testi ekibimiz, SCADA/ICS sisteminiz için kapsamlı bir inceleme hizmeti sunuyor. Bu denetleme, ilgili politikaların ve prosedürlerin incelenmesi, mimarinin incelenmesi, fiziksel güvenlik denetimi, altyapı penetrasyon testi, segregasyon testi ve derleme inceleme alıştırmaları dahil olmak üzere birçok şekilde yapılabilir.

Sistemleri birçok noktadan denetleyerek SCADA/ICS sistemlerinizin güvenlik durumunun genel görünümünü ortaya çıkarabiliyoruz.

Uygulama güvenliğinde "derinlemesine savunma" yaklaşımını sağlamak için kaynak kod incelemesi gerçekleştiriyoruz.

Kaynak kod incelemesi hizmeti, bir uygulamanın kaynak kodunun hem manuel hem de otomatik bakış açılarıyla sistematik olarak incelenmesinden ibarettir. Bu "beyaz kutu" yaklaşımı, ilk geliştirme aşamasında gözden kaçan ve "gri kutu" veya "siyah kutu" test yöntemleriyle bulunması her zaman mümkün olmayan hataları bulup düzeltmeyi amaçlar ve hem yazılımın genel kalitesini hem de geliştiricinin yeteneğini iyileştirir.

Bu hizmeti, C#, Java, Python, PHP vb. dahil çok çeşitli dillerde sunuyoruz.

Organizasyonlar artık altyapılarını sıklıkla hem kendi merkezlerinde hem de bulutta bulunan sanallaştırılmış ortamlara taşıyor. Çoğu zaman bu ortamlar şirket ortamlarına kısıtlanmadan giriş yapabilme imkanı sunuyor. Dolayısıyla sanallaştırılmış ortamların güvenliği atlanmaması gereken bir konudur.

Hem ticari, hem de kısıtlı ağlardaki sanal ortamlar veya özel bulut ortamları için derleme incelemesi ve altyapı testi kombinasyonunu birlikte uyguluyoruz. Geçmiş tecrübelerimiz arasında VMware ve Hyper-V gibi önemli ürünlerin yanı sıra Skyscape veya Amazon EC2 gibi bulut servis sağlayıcıları bulunuyor.

Dizüstü bilgisayarların ve mobil aygıtların birçoğunun kaybolduğu veya çalındığı gerçeği göz önüne alındığında, aygıtlar kötü insanların eline düştüğünde hangi bilgilerin ele geçirilebileceğini tespit etmek için onları inceliyoruz.

Buna başlatma yöntemleri, şifreleme atlama veya şirkete saldırmak için kullanılabilecek diğer bilgilerle dizüstü bilgisayarın açığını yakalamanın mümkün olup olmadığının denetlenmesi dahildir.

Ortamdaki sunucu dağıtımında kullanılan imajların kötü niyetli yazılım ve delil toplama açısından detaylı incelemesini gerçekleştirebiliyoruz.

Bu sayede dağıtılıp kullanılmaya başlanmadan önce ana imaja hiçbir şey bulaşmadığından ve müdahale edilmediğinden emin olabiliyoruz.

Veri tabanı sunucuları üzerinde, Microsoft SQL, MySQL, PostgreSQL, Oracle ve MongoDB gibi tüm önemli sürümlerdeki izinler, sürümler ve yapılandırmalara odaklanan detaylı incelemeler gerçekleştirebiliyoruz.

Organizasyonlar, servislere, ağlara veya belirli uygulamalara kısıtlı erişim izni vermek için Citrix, terminal hizmetleri (RDP), kısıtlı kullanıcı masaüstü veya bilgi noktası ortamı gibi kısıtlanmış ortamlar uygulayabiliyor.