Sızma (penetrasyon) testi, kurumların bilişim sistemlerini oluşturan donanım, yazılım, ağ gibi hedef organizasyonun içeriden veya dışarıdan maruz kalabileceği tüm saldırılara karşı test edilmesi, raporlanması ve ilgili çözümlerin sunulması hizmetidir.

Kurumların, içeriden ya da dışarıdan
• Sunucularının (server),
• Web sitesinin (ya da birden çok web sitesinin),
• Kurumsal mail yapısının
• Ağ (network) yapısının olduğu her an, gerçekleşebilecek saldırılara karşı gerekli tüm önlemleri almak adına sızma testlerine ihtiyacı vardır.

Kurumlar siber saldırılar sonucunda genellikle

• Bilgi kayıplarını azaltmak,
• Dirençlerini arttırmak,
• İşlerinde kesinti yaşamamak,
• Kuruma ait bilgi ve belgelerinin yetkisiz kişilerin eline geçmesini engellemek için bu hizmeti almaktadırlar.
Sızma testleri, 3 farklı yöntemle yapılmaktadır;

Black Box (Siyah Kutu): Kurumdan hiçbir bilgi alınmaksızın, kurum dışından bilişim sistemlerine yetkisiz kişilerin erişebileceği yöntemlerin internet üzerinden ve sosyal mühendislik yöntemleriyle tespit edilmesi.

White Box (Beyaz Kutu): Kurum tarafından belirlenen hedeflerde ki zafiyetin tespit edilmesi.

Grey Box (Gri Kutu): Kurumun halka açık (public) bir portalına (web sitesine) ait bir kullanıcı adı ve şifresinin kurum tarafından verilmesi ile, kurum içinden gerçekleşebilecek saldırıların tespit edilmesi.

Cyberage, uluslararası sertifikasyonlara sahip ekibi tarafından verilen bu hizmet sonucunda raporlama yapmakta ve raporda kurumsal risk seviyesinin tespiti ile birlikte çözüm önerileri sunmaktadır. Raporda belirtilen zafiyetlerin kurum tarafından belirlenen süre sonucunda giderilmesinin ardından, güvenliğin doğrulanması amacıyla doğrulama testleri, penetrasyon hizmetinin kapsamında yapılmaktadır.

DOS ve DDOS saldırılarında, birden çok makine üzerinden anlık istek gönderilerek, sistemin kaldırabileceği yükün çok üzerinde bir baskı ile sistemin aksaması ve hizmet veremez duruma gelmesi amaçlanır. DDOS saldırılarını gerçekleştiren kişinin saldırıya katılmaması ve sadece diğer IP numaralarını yönlendirmesi nedeniyle saldırganların tespiti zordur. Saldırının çok sayıdaki IP adreslerinden gelmesi güvenlik duvarının devre dışı kalması; dolayısıyla kurumun dışarıyla olan bağlantısının kesilmesi sonucunu doğurur.

Bu saldırılar, özellikle E-Ticaret sistemine sahip kurumlar için maddi kayıplara neden olurken, E-Ticaret sistemi olmayan lakin bir web sitesine sahip tüm kurumların da olumsuz olarak etkilenmesine ve itibar kaybına neden olmaktadır.

Profesyonel ekibimiz, kurumunuzun sahip olduğu sistemlerin olası ataklar sonucunda karşılaşacağı tehlikeleri dışarıdan yapacağı testler neticesinde önceden belirleyip gerekli tedbirlerin alınmasına yönelik önerileri raporlar.

Bu hizmetin de diğer hizmetler gibi periyodik olarak alınması önerilmektedir.

Kurumlarda bulunan bilişim sistemleri, yazılım ve donanım ürünleri (network cihazları, bilgisayarlar, sunucular, yazıcılar, vb.) zafiyet oluşturabilmektedir. Tüm bunlarla birlikte çalışan personel davranışları da zafiyet oluşturabilmektedir. Saldırganlar sistemlere sızma girişimlerinde bulunurken bu zafiyetleri kullanırlar. Bu tip girişimlerin neticesinde istenmeyen bazı sonuçlarla karşılaşılabilir. Kurum veya kişiler için önemli olan bilgiler kopyalanabilir, şifrelenebilir, sistemler kilitlenerek veriler kullanılmaz hale getirilebilir, iş süreçlerine aksaklıklara sebep olacak eylemler gerçekleştirilebilir.

Sunucular, taşınabilir ve masaüstü bilgisayarlar, yedekleme cihazları, akıllı telefonlar, tabletler, network cihazları, yazıcılar vb. cihazlarda yaşanabilecek zafiyetlerin giderilmesi için cihazlar sisteme dahil edilmeden önce gerekli testlerin yapılması, fabrika ayarlarının değiştirilmesi, güçlü parolaların oluşturulması gibi işlemlerden geçmesi gerekmektedir.

Diğer yandan kuruma yeni girmiş bir personelin oryantasyon aşamasında cihaz kullanımı ve bilgi güvenliği konularında bir programa sokulduktan sonra iş başı yaptırılması son derece önemlidir.