Uzman ve Deneyimli Ekibin Uluslararası Hizmetinden Yararlanın
Uluslarası güvenlik komitelerinin oluşturduğu standart ve metodolijileri (OWASP > OSSTMM > ISSAF > NIST SP800-155) inventiv tecrübesi ile birleştirip uyguluyoruz.
Nasıl Siber Güvenlik
Hizmeti Sunuyoruz?
1. ADIM
Bilgi Toplama
Test hedeflerini ve kapsamını açıkça tanımlamak ve belgelemek için müşteriyle birlikte çalışırız. Müşterinin test hedeflerini ve ihtiyaçlarını, güvenlik ve uyumluluk gereksinimlerini, iş risklerini ve diğer ilgili faktörleri tam olarak anlamak için görüşmeler yaparız. Belirtilen hedef ve altyapısı hakkında önemli bilgileri toplar ve inceleriz.
2. ADIM
Planlama Analizi
Test kapsamına bağlı olarak, bilgiler işlevsellik, kullanım durumları, kullanıcı rolleri, mimari, güvenlik mekanizmaları, güvenlik açısından kritik alanlar, barındırma ortamı ve daha fazlasını içerebilir. Bu kritik noktaların tamamını göz önünde bulundurarak test planı yaparız.
3. ADIM
Güvenlik Açığı Tespiti
Test planı doğrultusunda otomatik tarama yazılımı ve manuel testler ile hedef üzerinde bulunan güvenlik açıklarını tespit ederiz. Uygulamalar için geçerli olan belirli güvenlik testlerini tamamlar ve ayrıca uygulamada yer alan iş mantığını anlayarak olası saldırı senaryolarını belirleriz.
4. ADIM
Penetrasyon Testi
Test hedeflerinin, kapsamını ve katılım kurallarını dikkate alarak elde edilen güvenlik açıklarının uyglanabilirliğini müşteri ile birlikte hareket ederek tespit ederiz.
5. ADIM
Raporlama
Penetrasyon testlerinin tamamlanmasından sonra düzeltici önlemler almak için ayrıntılı raporlar hazırlarız. Tanımlanan tüm güvenlik açıkları ve önerilen düzeltici yöntemler bu raporlarda listeleriz. Güvenlik açığı raporu biçimini (HTML, XML, MS Word veya PDF) kuruluşunuzun ihtiyaçlarına göre özelleştirebilirsiniz.
SECURITY
Sıkça Sorulan Sorular
Bir sızma testi sırasında, yüksek vasıflı siber güvenlik uzmanları saldırgan rolünü üstlenir ve bir kuruluşun ağına girmeye çalışır. Tıpkı bir saldırganın yaptığı gibi, ağ üzerinde keşif yapar ve ağda bir zaaf bulmak için güvenlik açıklarından yararlanır. Bu testler gerçek bir bilgisayar korsanı tarafından istismar edilebilecek zayıflıklara işaret eder ve iyileştirme için bir yol haritası sunar.
Şirketinizin faaliyet alanına ve "saldırgan çekiciliğine" bağlı olarak farklılık gösterir. Oldukça hassas faaliyetlerde bulunan şirketler için yılda birkaç kez düzenli olarak pentestlerin yapılması önerilir. Amaç, en son saldırı yöntemini test etmektir.
Daha az hassas faaliyetlerde bulunan şirketler için, her yeni sürüm veya ana özelliklerin eklenmesi sonrası bir pentest gerçekleştirilmesi önerilir.
inventiv, Size neyin test edildiğini, nasıl test edildiğini, hangi zaafiyetlerin bulunduğunu ve bunların nasıl kullanılacağını ,belirten eksiksiz bir rapor denetimi sunar. Raporda ekran görüntüleri, çalınan veri özetleri ve tekrar saldırıları için senaryolar yer alır.
inventiv olarak bir sızma testi sırasında karşılaşabileceğimiz gizli bilgileri kesinlikle sizin şirketiniz dışında bir yer ile paylaşmayız. Bulduğumuz elementler, bulunan güvenlik açığını açıklamak için denetim raporunda yalnızca Anonim(Anonymous) olarak belirtilir. Ayrıca, denetim raporları Inventiv tarafından sadece sınırlı bir süre için saklanır.
Bir Sızma testinin hedefleri, incelediği kapsama göre büyük ölçüde değişiklikler gösterir. Genel olarak, bir sızma testinin amacı, korunan sistemi veya varlıkları, güvenliğini sağlamak için tasarlanmış kontrollerinin etkinliğini doğrulamaktır.
Sızma Testi her zaman projenin hedeflerini raporlamalıdır. Sızma Testi raporları ,kapsamı, gereksinimleri ve sonuçları özetlemelidir.
Güvenlik açığı taramaları, önceden yapılandırılmış tanıma özelliklerini kullandığından, bir sistemin tamamen test edilemeyen yerleri bulunur. Sızma testi, tarayıcıların test yapamayacağı, ciddi güvenlik hataları için kapsama alanı sağlar ve bir kuruluşun güvenlik duruşunu kesinlikle arttırır.
Sızma testi metodolojimiz, müşterilerimiz için veri kaybını, kesinti süresini ve riskleri azaltmak için özel olarak tasarlanmıştır. Bir güvenlik açığından yararlanmanın sistem için bir risk taşıdığı durumlarda, güvenlik açığını belgeleyeceğiz ve müşterimize rapor edeceğiz . Sistemlerinizi bozacak hiçbir faaliyette bulunmayacağız.
Başarılı bir penetrasyon testi, sorunun tartışılmaz kanıtı ve düzeltmeye öncelik vermek için bir başlangıç noktası kaul edilir. Sızma testi, yüksek yoğunluklu güvenlik açıklarına odaklanır ve false,positive'leri ortadan kaldırır.
Sızma testi süresinin uzunluğu test ile sistemlerin türüne ve sayısına bağlıdır. Normal standartlarda ortalama bir test süresi 1-2 haftadır.
