Penetration Test

İlgili Şirketin içerisindeki tüm bilişim sistemlerinde yaşanabilecek siber saldırılara karşı analiz edilmesi önemlilik arz etmektedir. Ayrıca Internet üzerinden gelebilecek saldırılara ve bünyesindeki sistemlerden dışarıya karşı yapılabilecek ataklara karşı sistemlerin açıklarının test edilmesi gerekmektedir. ISO 27001 BGYS tarafından Pentest süreçlerinin işletilmesi Denetçiler tarafından dile getirilmiştir. Pentest sonrası yayınlanan rapora istinaden güvenlik süreçleri tekrar değerlendirilerek yeni güvenlik perspektifi belirlenecektir.

Çalışmanın Kapsamı ;

Pentest çalışması ile  içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. 

Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), İlgili Şirket bünyesindeki bünyesindeki sistemlerin zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir. Aktif olarak üç çeşit Sızma Testi senaryosu gerçekleştirilmesi planlanmaktadır. Bunlar hedefe, vektöre, simüle edilecek saldırıya ve sisteme bağlı olarak değişmektedir. Belirtilen unsurlara bağlı kalarak kuruma uygulanacak Sızma Testi farklılık göstermekte ve her biri farklı sorunların çözümüne yöneliktir.

   
Internal Penetration Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar.

External Penetration Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.

Web Application Penetration Test: ‘External Penetration Test’ ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.


Çalışma Kapsamında Uygulanacak Yöntemler;
 

‘Whitebox & Crystalbox’ ve ‘Graybox’ yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. ‘Blackbox‘ yöntemi, “saldırgan gözüyle sistemlere ‘sızılmaya’ çalışılması” olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, ‘Whitebox & Crystalbox‘ ve ‘Graybox‘ daha etkilli, daha verimli ve sonuç odaklı yöntemlerdir.

Durum Analiz;

İlgili Şirket bünyesindeki Zaafiyetlerin ortaya çıkarılması önemlilik arz etmektedir. 27001 BGYS belgelendirme sürecinde pentest çalışması yapılması zorunluluktur.

Çalışma Kapsamında Görüşülecek Konular;

Kapsamı ile birlikte İlgili Şirket bünyesindeki tüm sistemlerin Siber saldırılara karşı dayanıklı hale getirilmesi hedeflenmektedir. Çalışma sonrasında iletilecek Zaafiyet ve Çözüm raporu ile yol haritası belirlenecektir.