Bilgi Güvenliği

BDDK Pentest / Sızma Testi Hizmeti

Banka ve finans sektörü uygulamaları kritik düzeyde uygulamalardır. Bu yüzden bu işletmeler zorunlu olarak BDDK Uyumlu sızma testi yaptırmaktadırlar. Bu sızma testlerini gerçekleştirirken aşağıdaki belirtilenler dikkate alınarak uzman ekibimiz tarafından sızma testini gerçekleştirmekteyiz.

AMAÇ

Gerçekleştirilecek olan sızma testinin amacı, banka bilgi sistemleri üzerinde bulunan saldırganların yetkisiz erişim elde edebilecekleri, hassas bilgilere ulaşabilecekleri güvenlik açıklarının saldırganlar istismar etmeden önce sızma testi ekibimiz tarafından tespit edilip raporlanması hedeflemektedir.

KAPSAM

Sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur. Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar.

 

METODOLOJİ

Sızma testleri, aşağıdaki tanımlanan kullanıcı profilleri ile tanımlanan erişim noktalarına gerçekleştirilecek temel sızma testleri ve detaylı sızma testlerinden oluşur. Temel sızma testlerinde sistem üzerindeki temel taramalar yapılır. Sistem hakkında bilgiler, çalışan servisler, kurum bilgileri gibi yardımcı bilgiler toplanır ve zafiyet taraması gerçekleştirilir ve erişim noktaları üzerinde araştırmalara devam edilir. Temel sızma testi sonrasında bulunan zafiyetler üzerinden detaylı bir sızma testi işlemi gerçekleştirilir. Burada ayrıntılı olarak bulgular ele geçirilmeye ve ne gibi zafiyetlere yol açacağı bulunmaya çalışılır daha sonra tüm bulgular ayrıntılı şekilde raporlanır.

Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak bankaların sorumluluğundadır.

Sızma testleri gerçekleştirilirken, banka faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler banka ile koordineli bir şekilde planlanarak gerçekleştirilir.

TESTLERİN GERÇEKLEŞTİRİLECEĞİ ERİŞİM NOKTALARI

Sızma testlerinin gerçekleştirileceği erişim noktaları aşağıda tanımlanmaktadır. Bu noktalar üzerinden sistemdeki zafiyetler ayrı ayrı incelenecektir.

TESTLERİN GERÇEKLEŞTİRİLECEĞİ KULLANICI PROFİLLERİ

Sızma testlerinin düzgün bir şekilde gerçekleştirilebilmesi ve her kullanıcının kendi yetki alanını test edebilmek için farklı kullanıcılar bulunmaktadır. Bu kullanıcılar üzerinden yukarıdaki erişim noktalarına ayrı ayrı testler gerçekleştirilerek yetkilendirmelerin düzgün yapılandırılıp yapılandırılmadığı kontrol edilir.

SİSTEM TESPİTİ SERVİS TESPİTİ VE AÇIKLIK TARAMASI

Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.

TEMEL SIZMA TESTLERİ

DETAYLI SIZMA TESTLERİ

Temel sızma testi aşamasında toplanan bilgiler dahilinde kapsamda belirtilen başlıkların her birine detaylı olarak zafiyet analizi yapılır. Bulunan bulgular tüm detayları ile birlikte BDDK rapor kapsamına uygun bir biçimde raporlanır.

 

İlgili diğer hizmetler