Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sızma testi nedir - Sızma testi metodolojisi

1,043 views

Published on

Bu sunumda sızma testlerinin tanımı yapılmakta ve bu testlerin nasıl yapılması gerektiği konusunda bilgiler verilmektedir.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Sızma testi nedir - Sızma testi metodolojisi

  1. 1. BTPSec Ⓒ 2015 Sızma Testi ne demektir ve biz bu testi nasıl yapıyoruz! 1
  2. 2. BTPSec Ⓒ 2015 biz BTPSEC’ iz... Sızma testlerinin ne demek olduğunu ve bizim nasıl yaptığımızı anlatacağız! İletişim kanallarımız: @btp_Sec info@btpsec.com 2
  3. 3. BTPSec Ⓒ 2015 GÜVENLİK DENETİM (SIZMA TESTİ) HİZMETİ BTPSec info@btpsec.com Office: +1 323 7398539 Address: 10650 Kinnard Ave #113, Los Angeles, CA 90024 3
  4. 4. BTPSec Ⓒ 2015 12 yi hedefle! Sızma testleri açık olarak tanımlı metodlarla yapılması gereken bir hizmettir. Aksi takdirde yapılmaması daha sağlıklı olabilir!! 4
  5. 5. BTPSec Ⓒ 2015 …. biz işimizi ciddiye alıyoruz 5
  6. 6. BTPSec Ⓒ 2015 Ajanda • Sızma testi (Pentest) nedir? • Neden sızma testi yaptırmalıyım? • Sızma testinin faydaları nelerdir? • Sızma Testleri nasıl yapılır? • Testin hedefi nedir? • Bir sızma testinde saldırgan profilleri • Ne zaman sızma testi yaptırmalı? • Raporlama • Değerlendirme • Doğrulama testleri Sızma Testi Hizmetleri 6
  7. 7. BTPSec Ⓒ 2015 • Sızma testi, Bilgi Teknolojilerine yö nelik zafiyetlerin tespit edilebilmesi için yetkilendirilmiş saldırı girişimlerinin gerçekleştirilmesidir. • Sızma testlerinde zafiyetler dikkatli bir şekilde istismar edilir ve mevcut zafiyet ile sisteme verilebilecek zararlar analiz edilir. • Sızma testi mü şteri kurum bilgisi dahilinde gerçekleştirilir. • Testler mü şteri kurumun tü m sistemlerine yö nelik gerçekleştirilmelidir. Sızma Testi nedir? 7
  8. 8. BTPSec Ⓒ 2015 ● Herhangi bir saldırı ö ncesi mevcut gü venlik durumunun tespit edilebilmesi ● Olası bir saldırı karşısında sistemin ne kadar dayanıklı olduğ unun tespit edilebilmesi ● Olası bir saldırıda ne kadar kayıp Neden Sızma Testi Yaptırılmalıdır? 8
  9. 9. BTPSec Ⓒ 2015 Independent IT-Security Institute kuruluşuna gö re 2014 ü retilen zararlı yazılım sayısı yaklaşık 150,000,000 dur. AV-TEST Institute kuruluşu hergü n yaklaşık 390,000 zararlı yazılım kaydı oluşturmaktadır. Kaspersky LAB araştırmacılarına gö re; 2014 yılında 6,167,233,068 zararlı yazılım girişimi tespit edilmiştir 2014 yılında 1,432,660,467 mobil saldırı tespit edilmiştir Her geçen gü n farklı saldırı çeşitleri gerçekleştirilmektedir Neden Sızma Testi Yaptırılmalıdır? 9
  10. 10. BTPSec Ⓒ 2015 • Carbanak: Rusya, Ukrayna, Çin ortaklığ ı: Siber finans çetesi • 30 farklı ü lkede toplam 1 milyar dolar siber saldırılar sonucu el değ iştirdi. • Sony: Tarihin en acımasız, itibar zedeleyici siber saldırısı • HSBC Tü rkiye: Kasım, 2014: 2.7 milyon adet kredi kartı verisi çalındı. Uluslararası Siber Gü venlik Olayları 10
  11. 11. BTPSec Ⓒ 2015 ● Sistem zafiyetlerinin tespit edilmesi ● Risk analizlerinin kolaylaştırılması ● İş Sü rekliliğ inin Artırılması ● İstemci Taraflı Saldırıların Azaltılması ● Mü şterilerin, Çalışanların ve iş ortaklarının korunması ● Uluslararası Gü venlik Standartlarına uygunluk sağ lanması a. ISO27001 Sızma Testinin Faydaları Nelerdir? 11
  12. 12. BTPSec Ⓒ 2015 Kapsamın Belirlenmesi – Web Uygulama Sızma Testi – Son kullanıcı ve sosyal mü hendislik testleri – Ddos ve performans testleri – Ağ altyapısı sızma testleri – Dış ağ ve Yerel ağ sızma testleri – Mobil uygulama gü venlik testleri – Sanallaştırma sistemleri sızma testleri – Veritabanı sızma testleri Sızma Testi Nasıl Yapılır? 12
  13. 13. BTPSec Ⓒ 2015 Testin gerçekleştirilmesi – Bilgi Toplanması – Elde edilen bilgilerin analizi ve planlama – Zafiyet tespiti – Zafiyet istismar girişimleri – Sistemlere erişim elde edilmesi – Erişim elde edilen sistemlerde hak yü kseltme girişimleri – Analiz yapılması ve raporlama Sızma Testi Nasıl Yapılır? 13 ★ Sızma testi raporlarımızda sadece gerçek ve potansiyel risk içeren açıklıklardan bahsediyoruz. ★ Müşteriye otomatik tarama sonuçlarını değil uzmanlık ve tüm bilgi birikimimizi katarak test yapıyor ve raporluyoruz. Çalışanlarımızı sadece belli alanlarda teşvik ediyor ve o alanda derinleşmelerini sağlıyoruz. ★ Ekibimizde web sızma tesi uzmanı, kablosuz sızma testi uzmanı, ddos test uzmanı, scada testi uzmanı ve ağ test uzmanları bulunmaktadır.
  14. 14. BTPSec Ⓒ 2015 Sızma testinde hedef sistemde bilgi ifşasına ve sistemin işleyişine engel olabilecek ; ● Uygulama geliştirmedeki eksiklikler/hatalar ● Yapılandırma eksiklikleri hataları ● Personelin gü venlik farkındalığ ı eksikliğ i ● Sistemin yeterince korunamaması ● Alt yapı yetersizlikleri ● Gü vensiz sertifika kullanımları ● Gü ncel olmayan zararlı yazılım kullanımları ● Gü ncel olmayan işletim sistemi kullanımları gibi zafiyetler hedef olarak seçilerek saldırganların sistemlere verebilecekleri zararlar analiz edilir. Sızma testinde hedef sistemler 14
  15. 15. BTPSec Ⓒ 2015 Dış ağ test metodları ◇Hiçbir bilgiye ve yetkiye sahip olmayan sıradan kullanıcı ◇Sistem hakkında bilgisi olan yetkisi olmayan kullanıcı ◇Sistem hakkında bilgisi ve sistemi kullanmaya yetkisi olan kullanıcı ◇Sistem hakkında bilgisi olan ve sistem hakkında yö netici haklarına sahip kullanıcı İç Ağ test metodları ◇Yetkisiz kullanıcı Çalışan profili Mutsuz çalışan profili Kö tü niyetli çalışan profili Yö netici profili Saldırgan Profilleri 15
  16. 16. BTPSec Ⓒ 2015 ● Sektö rel veya firma açısından kritik dö nemler ● Ö nemli lansmanların ö ncesi - sonrası ● Kritik personel işe alım ve işten çıkma sonrası ● En zayıf olunan zamanda ● En gü çlü olunan zamanda Ne Zaman Sızma Testi Yaptırılmalı? 16
  17. 17. BTPSec Ⓒ 2015 • En az senede 1 defa (BDDK zorunluluğu) • Sistem değişikliği ve yeni sistem alımlarında. • Sistem entegrasyonlarından sonra Ne kadar sıklıkla sızma testi yaptırılmalıdır? 17
  18. 18. BTPSec Ⓒ 2015 ● Sızma testleri esnasında elde edilen tü m bulgular analiz edilir, doğ rulanır ve detaylı bir şekilde raporlanır ● Raporlanan bulguların çö zü mü için mü şteri kuruma detaylı bir açıklama ve zafiyeti gidermek için gerekli adımları anlatan bir referans verilir ● Bulgular kategoriler halinde verilir, hangi kategoride ne kadar zafiyet olduğ u, gü venli ve gü vensiz noktalar istatistiksel olarak verilir Raporlama 18
  19. 19. BTPSec Ⓒ 2015 • Örnek bir bulgu Raporlama 19
  20. 20. BTPSec Ⓒ 2015 Gü venlik Durumunun Değerlendirilmesi 20 • Kurumun genel gü venlik seviye durumu raporda yer verilen yö netici ö zeti kısmında değ erlendirilmektedir • Kurumun talep etmesi ü zerine bir kapanış toplantısı dahilinde bulgu sayıları ve seviyeleri ü zerinden sistemin gü venlik durumu ö zetlenir.
  21. 21. BTPSec Ⓒ 2015 ● Elde edilen bulgular detaylı bir şekilde raporlandıktan sonra mü şteri kurumun mevcut zafiyetleri gidermesi beklenir ● Zafiyetler giderildikten sonra ortak belirlenen bir tarihte doğ rulama testi gerçekleştirilir ● Doğ rulama testinde sadece raporda yer verilen zafiyetler hedef alınır. Doğrulama Testleri 21
  22. 22. BTPSec Ⓒ 2015 BTPSEC OFFICES our office our office 22
  23. 23. BTPSec Ⓒ 2015 sorular? İletişim @btp_sec info@btpsec.com 23

×