Sızma Testi Hizmetlerimiz
Sızma testi yüksek sorumluluk içeren, bir disiplin çerçevesinde; metotlara bağlı yürütülen bilimsel bir simülasyon çalışmasıdır.
Saldırgan gibi düşünerek; saldırganın bilgiye erişme, ağa sızma işlemi simüle edilir, bu esnada ulaşılabilen veriler ve açıklıklar raporlanır.
GLOBAL YETKİNLİK
TÜBİTAK Martek’ten onaylanmış ScavDAT projesi ile bünyesinde kapsamlı sızma testi hizmetleri ve bilgi teknolojileri güvenlik hizmetlerini sunmakta olan ISR, kritik öneme sahip ağ ve sunucu altyapınızı en iyi şekilde korumak için uluslararası bilinirliğe sahip OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) sertifikalı güvenlik mühendislerinin tecrübeleri ile sizlere yardıma hazırdır.
ISR FARKI
Esas olarak güvenliğinizin iyileştirilmesine odaklanarak, güvenlik riski seviyesini şirketinizin operasyon segmenti, büyüklüğü, bütçe yapısı gibi dinamikleri ile dengeleyerek bir sızma simülasyonu (sızma – penetrasyon testi) gerçekleştiriyoruz.
Çalışmalarımızda Scavdat adı verdiğimiz güvenlik seviye ve katmanlarına göre, kabul edilebilir riskleri belirterek, risklerinize uygun bir bütçe ile sürekli güvenlik iyileştirmesi imkanı yaratıp; gerekli çözümler için kaynak planlaması sağlayacak şekilde çözümler önermek uzmanlığımızın öne çıkan bölümüdür.
Scavdat 3 ayrı güvenlik seviyesinde sizlere daha verimli sonuçlar sunulmasını sağlayan bir araştırma ve geliştirme projesidir. https://www.isr.com.tr/scavdat_guvenlik_denetimi/
MAKSİMUM BAŞARI
ISR gerçekleştirdiği sızma testi sonuçlarında maksimum başarıyı garanti etmektedir; konvansiyonel test metotları ile fark edilemeyecek güvenlik açıklarını tespit eder.
Uzmanlarımız çalışmalarına dair bulgularını sizin ihtiyacınıza en uygun şekilde özet nitelikte, teknik açıklamarı ile ve sade bir dil ile Türkçe raporlayarak sizin işinize ve çözüme odaklanabilmenizi sağlar.
Gizlilik anlaşmamız çerçevesinde referanslarını paylaşmak üzere izin aldığımız müşterilerimiz için bizimle iletişime geçebilirsiniz.
Siber güvenlik çalışmalarının başlangıcında her iki kurumun da çalışma şartlarına yönelik gizlilik sözleşmesi imzalaması ve bu çerçevede kurumsal disiplinin korunması sağlanmaktadır.
Sözleşmelerimiz çerçevesinde çalışmalarımızın gizlilikle yürütülmesi, size karşı olan şeffaflığımızı kaybetmemiz anlamına gelmemektedir. Çalışmalara yönelik ihtiyaç duyulan detaylı bilgi yetkili kişilere aktarılmaktadır.
Memnuniyet hedefimiz çerçevesinde müşterilerin kazanımı, tekrarlayan müşterilere döndürülmesi ve olumlu referans kazanımı için tüm çalışmalarımız özveri ile yürütülmektedir.
Dış Ağdan veya İnternet Üzerinden Ağ Denetimi
Bu testler kurum dışından gerçekleştirilir, kontrollüdür ve zarar vermeme tarzındadır, operasyonu aksatıcı bir girişimde (DDOS) bulunulmaz. Gerçek bir saldırganın aktiviteleri taklit edilir, kurum hakkında bilgi toplanır ve elde edilen bilgiler ile kurum kaynaklarına dışarıdan erişim gerçekleştirilir.
Bu çalışmalar sonucunda sistemlerinize zarar vermeden ve ulaşılan bilgilerin güvenliği korunarak güvenlik açıklarınız tespit edilir, saldırganlardan önce açıkları bilmeniz ve bilgilerinizin gizliliği, bütünlüğü, korunması sağlanır.
Web Sitesi Güvenlik Denetimi
OWASP listelerinde belirtilen web uygulama güvenlik riskleri incelenir.
Standart güvenlik tarayıcılarının dışında manuel analizler ile de ISR uzmanları iş akışınıza uygun daha karmaşık saldırı vektörleri deneyerek web sitenizi denetimden geçirir.
Size Özel Yazılmış Uygulamaların (Web, Desktop, Mobil) Denetimi
Güvenlik denetiminin yapılması gereken en kritik alanlardır. Standart güvenlik tarayıcı yazılımları ve koruma yazılımları özel yazılmış bu uygulamaların çalışma şeklini bilmedikleri için bu uygulamaların testinde işe yaramaz, manuel denetimin gerçekleştirilmesi büyük önem taşımaktadır.
Yazılım geliştirme kadromuzun güvenli yazılım geliştirme metodolojisine ilişkin bilgi birikimi kullanılarak güvenli yazılımlarda bulunması gereken özellikler gözden geçirilerek yazılım denetimi gerçekleştirir ve raporlanır.
DDoS Testi
DDoS simülasyonu, olası bir saldırı stratejisinin sonuçlarını tam olarak tespit etmek için varlığınızın değişkenlerine bağlı olarak bant genişliği kapasitesi, hizmet türü, altyapı, yazılım yapısı ve/veya mimari vb. farklı açıları içerir.
Trafik kapasitenizi farklı saldırı türlerine karşı test etmek, gereksiz bant genişliği yatırımlarından, gereksiz bant yükseltme ve/veya saldırı yönlendirme gibi yatırımlardan kaçınmanızı, gerçek zayıf noktayı bularak doğru noktaya yatırım yaparak maliyetten tasarruf etmenizi sağlar.
Uygulama Yük ve Stres Testi
Uygulamaların zafiyetleri sunucu zafiyetlerinden farklıdır ve çoğunlukla standart taramalar ve çalışmalar ile tespit edilemez. DDoS testleri ile elde edilemeyen bulguların ortaya çıkarılması için uygulamanın karakteristik özellikleri yazılım uzmanlığı olan güvenlikçiler tarafından tespit edilirek yük ve stres testi yapılır, uygulama hatalarını ve zayıflıklarını kod seviyesinde belirleyerek hem güvenli hem daha dayanıkı bir yazılıma sahip olmanız için oldukça önemli bir adımdır.
İç Ağ Denetimi
İç ağ, saldırıların büyük bir kısmının gerçekleştiği risk alanıdır.
Belli metodolojiler ile ağ dizayn eksiklikleri veya problemleri, konfigürasyon hataları, zararlı yazılımlar, eksik güvenlik yamaları, güvensiz parolalar vb. başlıklar denetlenir ve güvenli hale getirmek üzere raporlanır.
Bu çalışmaların sonucunda, size belirtilen zaman içerisinde zafiyetleriniz giderildikten sonra tekrar kontrol (re-check) uygulamaları da yapılmaktadır. Tekrar kontrol (re-check) için belirtilen zaman dilimi zafiyetlerin önemi veya kabulüne bağlı değişiklik gösterir, karşılıklı görüşme ile belirlenir.
Kablosuz Ağ Denetimi
Kablosuz ağlarınızın sinyallerini takip eden saldırganların, ağ içerisine sızma çalışmalarının simülasyonunu içerir. Kablosuz ağ, değişik düzeylerdeki saldırı risklerine göre kademeli olarak testten geçirilir, varsa zafiyetler ve iyileştirme önerileri raporlanır.
Sosyal Mühendislik Denetimi
Ağınıza her türlü güvenlik yatırımı yapmış olmanıza karşın güvenlik zincirinde en zayıf halkanın “insan” olduğu ve zafiyet taşıdığı değişmez bir gerçektir.
Bu yüzden ISR çalışanlarınız üzerinden oluşabilecek güvenlik risklerini sosyal mühendislik denetimleri ile tespit eder. Bu çalışmayı takiben “farkındalık eğitimleri” ile risklere karşı prosedürler ve kurallar oluşturulmasına yardımcı olunabilir.
Farkındalık Eğitimleri
Raporlanan açıklıklara yönelik alınabilecek sistemsel tedbirlerin dışında, insani tedbirler daha büyük önem taşır.
İnsani tedbirlere ve kurumda yer alan, sistemde zafiyete yol açabilecek tüm kullanıcılara yönelik bilgi güvenliği eğitimleri, en temel seviyeden; gündelik yaşantımızda karşılaşabileceğimiz sorunlardan başlayarak üst seviye saldırılara kadar bilgilendirme eğitimleri düzenlenmektedir.
Bu konuda referanslarımızı paylaşmak ve farkındalık eğitimlerinden kurumunuzu da faydalandırmak isteriz.
Kişisel Verilerin Korunması Kanunu Uyumluluğu
Kurumunuzun KVKK kanunu kapsamında geliştirmekte olduğu disiplini, sızma testi çalışmalarımız ve KVKK denetimlerimiz ile destekliyoruz.
Bununla birlikte çalışmalarımızın tamamını kişisel verilere yönelik hassasiyet ile yürütüyor, hem verinin doğru alanlarda saklanması, hem erişimin kontrollü olması, hem de çalışma sırasında ifşa olmaması için gereken özeni gösteriyoruz.
ISO 27001 Uyumluluk Çalışmaları
ISO 27001 çalışmalarınızda, başvuru öncesinde veya periyodik denetimlerinizde, kalite standartlarınız çerçevesinde ihtiyaç duyduğunuz güvenlik denetim ve iyileştirme çalışmalarını uyumlulukla yürütmenizi destekliyoruz.
Denetim öncesi güvenlik çalışmalarını tamamlamak üzere sızma testi raporu sağlamak, ihtiyaç halinde güvenlik yol haritanızı oluşturmak, periyodik denetimlerde ise hem mevcut kalitenizi korumak, hem de güvenlik iyileştirmeleri yapabilmeniz için raporlarımızı hassasiyetle sunuyor, açıklık kapamalarını takip ediyoruz.
PCI DSS Uyumluluk Çalışmaları
PCI DSS denetimleriniz için gereksinim duyulan güvenlik iyileştirmeleri ve denetimleri konusunda aktif danışmanlık sunarak yanınızda yer alıyoruz.
Yazılım tarafından üretilen tarama raporunun yanı sıra güvenlik açıkları, sektöre, şirketin büyüklüğüne ve veri yapısına veya şirket tarafından verilen ek bilgilere göre de güvenlik uzmanlarımız tarafından değerlendirilip; çıktıların önemini daha da net gösteren ve güvenlik açıklarından “en çok gerçekleşebilecek” riskler özet bir raporda size sunulur.
Ayrıca PCI kapsamındaki görevleriniz için, yaygın saldırı vektörlerinin incelenmesi sırasında güvenlik açığından yararlanılarak toplanan kanıtlar da bu raporda belirtilir.
Bunlara ek olarak, harici tarama raporu sonuçlarının “Geçme (Pass)” onayı için PCI ASV’ye gönderilmesi ve sürecin yakından takibi ile tam bir uygulamalı danışmanlık ile yardım sağlanır.
Sızma testi hakkında daha detaylı bilgi için lütfen bizimle iletişime geçiniz.
bilgi at isr.com.tr