Zafiyet Analizi ve Sızma Testi

Zafiyet Analizi ve Sızma Testi

svg divider

Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapıdaki sistemler üzerinde bulunan zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.

Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external, web & mobile application) gelebilecek saldırılar ve sonucunda ne tür bilgiye, veriye ve/veya sisteme erişilebileceği ve bu erişimin etkisinin ne olacağı konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Sızma Testi bu soruya cevap bulunmasına yardımcı olur. Ek olarak, her firma/kurum’un hassas ve korunması gereken bilgisi ve verisi farklıdır, Sızma Testi çalışması bu noktanın analizinden sonra şekillenmektedir.

Blackbox: Güvenlik Araştırmacısı’na testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez. Whitebox & Crystalbox: Güvenlik Araştırmacısı’na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir. Graybox: ‘Whitebox & Crystalbox’ ile ‘Blackbox’ arasında olan bir Sızma Testi yöntemidir. ‘Güvenlik Araştırmacısı’na yapı ve/veya sistemler hakkında ‘detaylı’ bilgi verilmez.

Yazılım Fırını, bu testleri gerçekleştirirken uluslararası standartları göz önünde bulundurarak yukarıdaki adımları takip eder ve ‘standart’ Sızma Testlerinden farklı olarak ‘özelleştirilmiş’ bir yapı kullanılır. Bu ‘özelleştirilmiş’ yapı aşağıda belirtilen parametreleri içermektedir.

Yazılım Fırını, kullandığı metodoloji içerisinde bulunan ‘Bilgi Toplama’, ‘Tarama ve Sınıflandırma’, ‘Erişim Elde Etme’, ‘Erişimi Yönetme’ ve ‘İz Gizleme’ adımlarında uluslararası kabul görmüş araçların (commercial & Open-Source) yanı sıra Yazılım Fırını bünyesinde görev alan Güvenlik Araştırmacıları tarafından kodlanan araçlar (Yazılım Fırını Analysis & Scanning Tools) ve ‘exploit’ler (Yazılım Fırnı Exploit Research & Development, DB) kullanır (yazılan ‘exploit’ler Güvenlik Araştırmacıları tarafından Sızma Testi öncesinde ve/veya sırasında kodlanabilir. Yazılan her ‘exploit’, öncelikle ‘Yazılım Fırını Pentest Lab’ üzerinde denenmektedir).

Yazılım Fırını, Sızma Testi sonucunda ayrıntılı bir rapor hazırlar. Bu rapor, ‘Teknik Rapor’, ‘Yönetici Raporu’ ve ‘Bulgu Detayı’ gibi ayrı parametreler içerir. ‘Bulunan zafiyetin ayrıntılı açıklaması’, ‘zafiyetin bulgusu (ekran görüntüsü ve/veya çıktı)’ ve ‘zafiyetin çözümü’ başlıklarına ‘tamamen’ özelleştirilmiş cevaplar verilir. Zafiyet önce tespit edildiği hedef sistemin benzerinin oluşturulduğu ‘Yazılım Fırnı Pentest Lab’ ortamında kapatılır (sıkılaştırma çalışmaları), ardından ‘zafiyetin çözümü’ yönergelerle birlikte ayrıntılı bir şekilde yazılır.

- DoS/DDoS Test
- Exploit Research & Development Study
- External Network Penetration Test
- External Vulnerability Analysis / Assessment
- Internal Network Penetration Test
- Internal Vulnerability Analysis / Assessment
- Malware Analysis
- Pentest Lab Study
- Penetrasyon Testi
- Penetration Test Planning | Pre-Test
- Penetration Test Presentation | Post-Test
- Social Engineering Test
- Static/Dynamic Code Analysis
- Vulnerability Analysis/Assessment & Penetration Test Report Study
- Vulnerability Research & Development Study
- Web Application Penetration Test
- Zafiyet Analizi/Sizma Testi Görüsmesi