Bilgi Güvenliği

Pentest Hizmeti

TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nde uzun yıllar çalışmış bilgi güvenliği uzmanları tarafından kurulan BTYÖN, pentest ihtiyaçlarınız için sizlere en iyi hizmeti sunmayı hedefler. Offensive Security Certified Professional (OSCP), TSE Kıdemli Sızma Testi Uzmanı ve Certified Ethical Hacker - CEH sertifikalı uzmanlar tarafından gerçekleştirilecek pentest ile zafiyetlerinizi bulan ilk siz olun.

Arabanız çalınırsa bunu fark edebilirsiniz ya da cüzdanınız, ancak günümüzde bilgilerinizin çalınması durumunda bunu tespit etmek çok daha zor, karmaşık ve yüksek maliyetli olacaktır. Birçok sektörde dış saldırgan (hacker) veya küskün personel kaynaklı bilgi kayıpları, servis/hizmet kesintileri hatta itibar kayıplarına varan olaylarla karşılaşıyoruz. BTYÖN, organizasyonunuzun bu tip istenmeyen olaylarla karşılaşmaması için proaktif yaklaşımlar sunmaktadır.

Pentest kapsamında yapılacak çalışmalar, organizasyonunuzun gerek dış dünyadan gerekse organizasyon içinden ne gibi riskler taşıdığını belirlemenizi sağlayacaktır. BTYÖN, organizasyonunuzun bilgi teknolojileri ile bağlantılı açıklıklarını ve risklerini belirlemek için 10 yıldan fazla deneyime sahip bilgi güvenliği uzmanları ile pentest hizmetini sunmaktadır.

Pentest çalışması, ISO 27001, PCI-DSS, COBIT, ISO 22301, ITIL, GDPR,  KVKK ve yasal uyumluluk çalışmalarınıza girdi sağlamaktadır.

Pentest kapsamı, BTYÖN bilgi güvenliği uzmanları ile birlikte organizasyonun BT, risk veya bilgi güvenliği yöneticisi tarafından tamamen organizasyonun ihtiyaçlarına göre belirlenmektedir. Organizasyonunuzun sunduğu ürün ve hizmetlere bağlı olarak hassas veri kaynakları, uygulama sunucuları, ağ iletişim altyapı sistemleri, güvenlik ürün ve çözümleri test kapsamına alınmaktadır. Testler organizasyonun dışından ve içinden ayrı ayrı gerçekleştirilebilmektedir.

Kurumun bilgi güvenliği zafiyetlerini ortaya çıkarabilmek için saldırgan bir yöntem izlenir. Saldırgan yöntemde en sık başvurulan metotlar ise zayıflık taramaları ve pentesttir.

Zayıflık taramalarında, hedef kurumun yetkilileri tarafından verilen kapsam doğrultusunda tüm sistemlere yönelik testler gerçekleştirilir ve zafiyetleri tespit edilir. Bu uygulamada amaç, kurumun sistemlerine ait güvenlik zafiyetlerinin tespit edilip raporlanmasıdır. Zayıflık tarama işlemi genellikle otomatik araçlar ile gerçekleştirilir.

Pentest çalışmalarında ise zafiyetler tespit edildikten sonra kontrollü bir şekilde istismar edilir ve sistemlere erişim sağlanmaya çalışılır. Erişim sağlanan sistemlerden diğer sistemlere ve veri tabanlarına erişim sağlanmaya çalışılır. Pentestin kalitesi ve bir saldırıyı ne oranda gerçekleyebileceği pentest çalışmasını gerçekleştirecek ekibin tecrübesine dayanmaktadır.

BTYÖN pentest raporunun oluşturulmasında aşağıda verilen kuruluş ve yönergelerden yararlanılır.

 

Pentest üç ana aşamadan oluşmaktadır:

Şekil 1 Sızma testinin temel aşamaları

Şekil 1 Pentestin temel aşamaları

BİLGİ TOPLAMA

Pentestin ilk fazlarından olan bilgi toplama evresinde amaç, hedef sistem hakkında olabildiğince bilgi toplamaktır.  Bilgi toplama evresi, aktif bilgi toplama ve pasif bilgi toplama şeklinde iki farklı metotla yapılabilir.

PASİF BİLGİ TOPLAMA 

Pentest esnasında pasif bilgi toplama metodunda hedef sistemlere yönelik hiçbir sorgu gerçekleştirmeden internet ortamından faydalanır.

Faydalanabilecek platformlar;

 

Elde edilecek bilginin çeşidi ve bir sonraki adımlarda kullanılabilmesi pentest ekibinin tecrübesine dayanmaktadır.

AKTİF BİLGİ TOPLAMA 

Pentest esnasından uygulanan bu metot ile hedef kuruma ait sistemler ile etkileşime geçilir ve çeşitli sorgularla sistemlerden bilgi toplanmaya çalışılır. Bu metotla yapılacak girişimlerin iyi yapılandırılmış sistemler tarafından log düzeyinde tespit edilebilmesi gerekmektedir. Elde edilebilecek bilgilerden bazıları;

 

AĞ HARİTALAMA

Pentestin ilerleyen evrelerinde gerçekleştirilen bu evrede amaç, hedef sistemin ağ alt yapısını ve ağ yapısının tespit edilmesidir. Hedef sistemler üzerinde açık bulunan portlar, çalışmakta olan servisler, sürümleri ve kurum tarafından kullanılan tüm güvenlik ve network cihazlarının tespit edilmesi ağ haritalama kısmında bizlere yardımcı olmaktadır.

ZAFİYET TARAMA

Pentest gerçekleştiriliyorken hedef sistemlerde zafiyet tespitinde kullanılabilecek en önemli bilgilerden bir tanesi çalışan servislerin sürüm bilgileridir, sürüm bilgileri yapılan isteklerde elde edilen banner bilgilerinde de tespit edilebilirler.

Bu evrede ek olarak otomatik zafiyet tespit araçları kullanılarak zafiyet tespitleri gerçekleştirilmektedir. Yapılandırma hataları, mantık hataları ve güvenlik politikası eksikliğinden kaynaklanan zafiyetler pentest ekibinin tecrübesi doğrultusunda tespit edilmektedir.

 

SİSTEME ERİŞİM

Elde edilen zafiyetlerin doğrulanarak, sistemlere erişim sağlandığı evredir. Bu evrede zafiyetlerin yayınlandığı platformlardan zafiyet bilgisi araştırılır varsa istismar kodları/araçları belirlenerek denemeler yapılır ve yeterince zaman olması durumunda zafiyet araçları yazılır. Pentest sürecinde bu evre çok önemlidir, bu evrenin tam manasıyla gerçekleştirilmesi için pentest ekibinin tecrübeli olması gerekmektedir. Erişimin elde edildiği sistemlerde sistemin kullanıcı hesapları tespit edilir ve bu hesapların parolalarına ve parola özetlerine (hash) erişilmeye çalışılır.

HAK YÜKSELTME

Pentest esnasında herhangi bir zafiyetin istismarı ile erişilen sistemlerde her zaman yetkili bir kullanıcı haklarına sahip olunamayabilir. Bu durumlarda gerekli güvenlik yamaları yapılmamış veya yanlış/hatalı yapılandırılmış sistemlerde yetkisiz kullanıcı yetkileri arttırılabilir. Hatalı yapılandırılmış servislerin log’larında ve konsolların geçmişlerinde parola içerikli yapılandırma komutları bulunabilmektedir.

DİĞER SİSTEMLERE SIZMA

Pentest sürecinde diğer sistemlere sızma evresinde detaylı bir araştırma gerekmektedir. Sızılan sistemlerle aynı ağda bulunan veya aynı anahtarlama cihazı üzerinde bağlı olan cihazların tespit edilmesi gerekmektedir. Tespit edilen sistemlere erişim girişimlerinde elde edilen parolalar kullanılır. Yeni hedef sistemlerinde zafiyetleri tespit edilmeli ve istismar girişimlerinde bulunulur.

DİĞER AĞLARA SIZMA

Pentest gerçekleştiriliyorken bu evrede diğer ağlara sıçrama girişimleri denenmektedir. Bir ağda sızılan sistemlerin etkileşimde olduğu diğer sistemler tespit edilir ve çeşitli bağlantı girişimleri ile diğer ağlarda bulunulan cihazlara erişmeye çalışılır.

ERİŞİM KORUMA

Gerçek saldırılarda, erişim elde eden saldırganlar erişimlerini korumak için sistemde değişiklik yapmaktadırlar. Sistemin geneli için önemli olabilecek bir hesap bilgisini elde etmek günler sürebilmektedir. Pentest süresince erişim hakkı elde edilen sistemlerdeki erişimlerin korunması testin gerçek bir saldırıyı canlandırması açısından önemlidir.

İZLERİN SİLİNMESİ

Erişim elde edilen ve incelemelerin bittiği sistemlerde izler silinmelidir, sistemde zararlı yazılım, arka kapı vs. tüm araçlar kaldırılmalıdır. Bu evre pentest sonrası sistemin güvenliği için önemli olduğundan pentest esnasında atılan adımlar not alınmaktadır.

RAPORLAMA

Bu evre müşteri kurum için en önemli evredir, yapılan tüm çalışmalar sonrası sistemlerinin güvenlik durumunu ortaya pentest raporu koymaktadır. Pentest raporu gayet açıklayıcı ve bilgilendirme odaklı yazılmış olmalıdır. Elde edilen bulguların sistemde oluşturabileceği zararlar açıklayıcı ve tatmin edici olmalıdır. Bulguların giderilmesi için sunulan çözüm önerileri ve referanslar güncel olmalıdır. 

Rapor bulguların farklı kategorilerde değerlendirebilecek şekilde hazırlamalıdır. Raporda pentest esnasında kullanılan araçların verilmesi müşteri kurumun sistem yöneticileri ve çalışanları tarafından kendi farkındalıklarını arttırması açısından önemlidir. Pentest raporu müşteri kurumun genel güvenlik değerlendirmesini içermeli ve iyileştirme önerileri içermelidir.

Aşağıdaki başlıklarda pentestlerin nasıl gerçekleştirildiği ile ilgili daha detaylı bilgiler sunulmuştur.

WEB UYGULAMA PENTEST

Web uygulamaları, kurumların dünyaya açılan gözleri olarak tanımlanmaktadır. Kurumların aynı zamanda sektörde ve müşterilerine karşı itibarının bir simgesi olarak anılmaktadır. Web uygulamalarına yönelik gerçekleştirilen pentestlerde amaç, saldırganların internet üzerinden web uygulamaları aracılığıyla kurumsal bilgilere ve müşterilerinin bilgilerine erişip erişemediğinin tespit edilmesidir.

MOBİL UYGULAMA PENTEST

Mobil uygulamaları da web uygulamaları gibi, kurumların dünyaya açılan penceresi olarak tanımlanmaktadır. Kurumların aynı zamanda sektörde ve müşterilerine karşı itibarının bir simgesi olarak anılmaktadır. Mobil uygulamalarına yönelik gerçekleştirilen pentestlerde de amaç, saldırganların mobil uygulamaları aracılığıyla kurumsal bilgilere ve müşterilerinin bilgilerine erişip erişemediğinin tespit edilmesidir.

DIŞ AĞ PENTEST

Dış ağ pentest kapsamı oluşturularak veya bir kapsam oluşturmaksızın gerçekleştirilebilir. Bir test kapsamı oluşturmaksızın dış dünyadan edinilebilecek bilgilerle gerçekleştirilen testte, organizasyonun dış dünyaya bakan arayüzleri test edilir. Bunlar genellikle web sayfaları, uygulama sunucuları, ağ iletişim cihazları (router ve kablosuz ağ erişim noktaları), güvenlik duvarı, saldırı tespit sistemleri gibi güvenlik sistemleridir. Dış ağ pentestlerde belli IP aralığı, dış ağda bulunan sunucular üzerinde güvenlik testleri gerçekleştirilmektedir. 

Bu testte canlandırılan saldırgan profili genellikle anonim kullanıcı profilidir. Bahsedilen profil bir kurumun sistemine herkes kadar erişebilen yetkisiz kullanıcıdır. Saldırgan internete açık bir makineyi ele geçirebilirse (Pivoting) kurum iç ağında bulunan etki alanı yönetimini ele geçirebilir dolayısıyla tüm sunucuları ve istemcileri yönetebilir, aynı zamanda kurumun tüm bilgilerine erişebilir. Bu alanda gerçekleştirilen testler bir saldırganın dış ağda oluşturabileceği tehditleri gerçekleyerek sistemin güvenlik risklerini ortaya çıkarmayı hedeflemektedir.

İÇ AĞ PENTEST

Bu pentest kategorisinde etki alanı, yerel ağda bulunan tüm bileşenlere test gerçekleştirilmektedir. Bu testte canlandırılan saldırgan profilleri; fiziksel erişimi olan saldırgan, misafir, çalışan, yetkili çalışan, mutsuz çalışan, meraklı çalışan ve kötü niyetli çalışan profilleridir. Bahsedilen profiller bir kurumun sistemi için çok kötü sonuçlar doğurabilir. Kurum yerel ağında bulunan bir saldırgan etki alanı yönetimini ele geçirebilir dolayısıyla tüm sunucuları ve istemcileri yönetebilir, aynı zamanda kurumun tüm bilgilerine erişebilir. Bu alanda gerçekleştirilen testler bir saldırganın yerel ağda oluşturabileceği tehditleri gerçekleyerek sistemin güvenlik risklerini ortaya çıkarmayı hedeflemektedir.

KABLOSUZ AĞ PENTEST

Güvenlik zafiyeti barındıran kablosuz ağlar tüm ağı tehlikeye atabilmektedir. Kurum ağında yanlış yapılandırılmış veya hatalı konumlandırılmış kablosuz ağ cihazları kurum için bir risk alanı oluşturmaktadır. Bu kategoride kurum dışından ve kurum için kablosuz ağlar üzerinden kuruma yönelebilecek tehditler tespit edilmektedir.

VPN SİSTEMLERİNE YÖNELİK PENTEST

Birçok çalışan dünyanın herhangi bir yerinden işverenlerinin ağına kolayca ulaşabilmek için VPN kullanmaktadır. Fakat bu durum bizlerde sonsuz bir güvenlik duygusu oluşturmamalıdır. VPN aynı zamanda saldırganlar içinde bir geçittir. Bu durumda VPN’in bizlere sunduğu gizliliği korumak için hem işverenlerin hem de bu hizmeti kullanan çalışanların bu düzeneği nasıl güvende tutacaklarını anlamaları gerekmektedir. Bu süreçte ilk adımın pentest yaptırmak olduğu söylenilebilir. Bu pentestlerde öncelikle VPN türü belirlenmelidir fakat türü her ne olursa olsun temel adımlar aynı kalır. İlk adım olarak açık portların taranması ve fingerprinting gelmektedir. Sonraki adım bilinen açıklıkların kullanılmasıdır. Daha sonra ise var olan kullanıcı hesaplarından yararlanılmaktadır. Bu sistemlere yönelik gerçekleştirilecek pentestler ile güvenliğinizi tehdit eden açıklıkları tespit edebilirsiniz.

SOSYAL MÜHENDİSLİK PENTEST

Sosyal mühendislik pentestleri, insani zafiyetler olan; etkileme, hızlı ikna olma ve ani karar verme gibi zayıflıklar kullanılarak, hedef kurum veya kişilerden bilgi toplamak için gerçekleştirilen saldırı vektörlerinin bütünüdür. Sistemlerin kolay önlem alınamayan en büyük zafiyeti insanı istismar etmek üzere tasarlanmıştır. 

ETKİ ALANI, SUNUCU VE İSTEMCİ SİSTEMLERE YÖNELİK PENTEST

Bu test kategorisinde etki alanı, yerel ağda bulunan sunucular ve istemcilerin güvenlik testleri gerçekleştirilmektedir. Sunucuların güvenlik yamaları incelenmesi, servislere, sistemlere ve uygulamalara yönelik zayıf veya tahmin edilebilir parola kullanımı  gibi bir çok kontrol bu kategoride gerçekleştirilmektedir.

ANAHTARLAYICI (SWITCH) VE YÖNLENDİRİCİ(ROUTER) SİSTEMLERE YÖNELİK PENTEST

Bu pentest kategorisinde bir kurumun ağ yönetiminin gerçekleştirildiği anahtarlayıcı ve yönlendiriciler üzerinde çeşitli zafiyetler test edilmektedir. Bu zafiyetlerden bazıları cihazın kullanılan firmware sürümünden, üzerindeki işletim sisteminin güncel olmamasından, gereksiz servis kullanımından vs. olmaktadır. Burada en sık karşılaşılan zafiyetlerden bir tanesi kullanılan servislerin güvenli yapılandırılmamasından kaynaklanmaktadır.

Bu kategoride gerçekleştirilen testler, ağ yönetim cihazları üzerinden gelebilecek saldırıların analizini gerçekleştirmek ve açığa çıkabilecek risklerin tespiti amacıyla gerçekleştirilmektedir.

VERİTABANI SİSTEMLERİNE YÖNELİK PENTEST

Veri tabanı sunucuları bir kurum için en önemli sunucular olarak kabul edilmektedir. Veri tabanı sunucularında ya da veri tabanına erişimi olan bir uygulamada var olan bir zafiyet tüm kurum ve müşteri bilgilerini tehlike altına atabilmektedir. Veri tabanı sunucuları bilgi ifşası, servis aksaması gibi tüm riskler için var olan tehditlere yönelik korunmalıdır. Bu kategoride gerçekleştirilen testler veri tabanına yönelik tehditleri gerçekleyecek şekilde yapılanmaktadır.

DDoS/DoS SERVİS DIŞI BIRAKMAYA YÖNELİK PENTEST

DDoS testleri dağıtık servis dışı bırakma testleri olarak da bilinmektedir. Bu testte amaç hedef sistemin erişilebilirliğini engellemektir. Dağıtık ifadesi farklı yerleşkelerden saldırının gerçekleştirilerek saldırıda kullanılan bant genişliğini arttırmaya çalışılmaktadır. Aynı işlemlerin tek bir noktadan yapılmaya çalıştığı testler ise DoS olarak adlandırılmaktadır.

ATM VE POS SİSTEMLERİNE YÖNELİK PENTEST

Bu kapsamda kurumun saha operasyonlarını yürüttüğü (Para yatırma ve çekme, EFT vs.) ATM cihazlarına ve ödeme gerçekleştirmeyi sağlayan POS sistemlerinin fonksiyonları test edilmektedir.

 

İlgili diğer hizmetler