PENETRATION TESTING ( SIZMA TESTİ )

Benzer belgeler
Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Web Application Penetration Test Report

01 Şirket Profili

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Web Uygulama Güvenliği Kontrol Listesi 2010

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

05 - Veritabanı Sızma Testleri

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Veritabanı Güvenliği ve Savunma Algoritmaları

AĞ ve SİSTEM GÜVENLİĞİ

BİLGİ GÜVENLİĞİ. Temel Kavramlar

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Bilgi Güvenliği Eğitim/Öğretimi

KONYA GIDA VE TARIM ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI SIZMA TESTİ HİZMET ALIMI VE KURUMSAL SOME EĞİTİMİ TEKNİK ŞARTNAMESİ

MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

SIZMA TESTİ EĞİTİMLERİ

Sibergüvenlik Faaliyetleri

Windows Hacking - II

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

NGN ve VoIP Ağları Güvenlik Denetimi

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi

Venatron Enterprise Security Services W: P: M:

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEKNOLOJİLERİ TEST VE BELGELENDİRME DAİRESİ BAŞKANLIĞI SIZMA TESTİ UZMANI FAALİYETLERİ

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Bilgi Sistemlerinde Merkezi Kayıt Yönetimi ve Olay İlişkilendirme

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

IBM Yönetilen Hizmetler

1 WEB GÜVENLIĞINE GIRIŞ

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

ZAFİYET TESPİTİ VE SIZMA YÖNTEMLERİ. Eyüp ÇELİK Bilgi Teknolojileri Güvenlik Uzmanı

Güvenlik. Kullanıcı Kılavuzu

Kaspersky Administration Kit 8.0

Bilgi Güvenliği AKADEMİSİ Eği3m Dosyası

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

MaestroPanel Kurulum

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı


SİBER SUÇLARA KARŞI SİBER ZEKA

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

BioAffix Ones Technology nin tescilli markasıdır.

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI



SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

SIZMA TESTİ, EĞİTİM VE DANIŞMANLIK HİZMETİ VEREN PERSONEL VE FİRMALAR İÇİN YETKİLENDİRME PROGRAMI

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

EKLER EK 12UY0106-5/A4-1:

ERİŞİM ENGELLEME DOS VE DDOS:

SOC unuz siber saldırılara hazır mı?

Bilgi Güvenliği Farkındalık Eğitimi

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ

Veri Tabanı-I 1.Hafta

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

Hedef Odaklı Sızma Testleri

HATAY KHB BILGI İŞLEM BİRİMİ

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

Finans Sektörüne Yönelik Yeni Nesil Tehditler. Burç Yıldırım Mart 2015

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Başlık: Windows Sistem Yöneticisi Yardımcısı

İletişim Ağlarında Güvenlik

Eğitim Kurumlarına Yönelik Sızma Test Metodolojisi

Clonera Bulut Felaket Kurtarma ve İş Sürekliliği Çözümü

Merhaba, Saygılarımızla,

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

Sızma Testleri (COMPE 552) Ders Detayları

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Module 2 Managing User And Computer accounts

BioAffix Ones Technology nin tescilli markasıdır.

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Transkript:

PENETRATION TESTING ( SIZMA TESTİ )

Siber dünyanın karanlık ormanlarında yalnız değilsiniz! Güvenlik cihazlarınızın ve güvenlik yazılımlarınızın sizi gerçekten koruduklarından emin misiniz? İçindekiler: Penetration Testing...3 ve Zafiyet Taraması...5 Pentest Metodolojisi...6 CRYPTTECH Hizmeti...8 CRYPTTECH - PENETRATION TESTING 2

PENETRATION TESTING SIZMA TESTİ Güvenlik cihazlarınızın ve güvenlik yazılımlarınızın sizi gerçekten koruduklarından emin misiniz? Her şirketin güvenlik risklerine karşı kontrole ihtiyacı var. Penetration Testing veya Pentest olarak bilinen bu kavram Türkçe'de olarak kullanılmaktadır. Bilgi teknolojilerinin hızla gelişmesi ve bilgiye erişimin kolaylaşması, bilgilerinizin güvenliğini de o denli önemli kılmaktadır. Sistemlere saldıran kötü amaçlı kişilerin sayısı, bilgi ve becerisi, zamanı ve motivasyonu her zaman güvenlik uzmanlarının sahip olduğu zaman, bilgi ve motivasyonun üzerindedir. Hackerların önüne geçebilmek adına, sistemleri onlar gibi düşünebilen ve hareket edebilen kişiler tarafından teste tabi tutmak önemli bir zorunluluk haline gelmektedir. Bilişim alanındaki temel güvenlik yaklaşımını ikiye ayırabiliriz. Bunlardan biri savunmacı güvenlik olarak adlandırılan defensive security, diğeri ise proaktif güvenlik olarak adlandırılan offensive security dir. Pentest çalışmaları ise offensive security anlayışının bir sonucu olarak ortaya çıkmıştır. Pentest, hedef olarak belirlenmiş sistemlere saldırgan bakış açısıyla yaklaşarak teknik olarak olası bütün yöntemlerin denenip sızılması ve sistemlerin ele geçirilmesi işlemidir. kapsamında risklerin, zayıflıkların meydana getirebileceği zararlar, saldırganların ulaşabilecekleri noktaların analizi yapılarak sistemler tam bir denetime tabi tutulur. CRYPTTECH - PENETRATION TESTING 3

Penetration Testing (Sızma testi) ve Vulnerability Assessment (Zafiyet değerlendirme/tarama) birbirine benzeyen fakat farklı kavramlardır. Zafiyet tarama işlemi hedef sistemlerdeki güvenlik zafiyetlerinin, açık kaynak veya ücretli otomatize zafiyet tarama yazılımları kullanılarak bulunması ve raporlanması işlemidir. ZAFİYET AÇIKLARI KRİTİKLİK SEVİYESİ DAĞILIMI KRİTİK YÜKSEK 15,1% ORTA 0,5% 13,3% DÜŞÜK BİLGİ Pentest çalışmalarında ise amaç zafiyet bulmaktan öte bulunan zafiyeti değerlendirip sistemlere erişim yollarının keşfedilmesi ve yetkili erişimler elde etmektir. Hedef sistemler üzerinde gerçekleştirilebilecek ek işlemlerin (sisteme sızma, bilgilere erişme, etkiyi tanımlama) belirlenmesidir. 45,6% 25,5% Belli imzalara göre hareket eden otomatize araçlar sizi ne kadar güvende tutabilir? Profesyonel kişilerce yapılacak sızma testlerinde, sistemlerinizin gerçek durumunu görmeye ne dersiniz? SALDIRI KAYNAK ALANLARI UZAK AĞ YEREL AĞ YEREL SİSTEM 7,5% Zafiyetlerinizi değerlendirmede insan faktörünün en önemli etken olduğunu unutmayınız. 35,5% 57,0% CRYPTTECH - PENETRATION TESTING 4

SIZMA TESTİ VE ZAFİYET TARAMASI Aşağıda anlatılan ve grafiği çizilen senaryo zafiyet taraması (vulnerability scanning/assessment) ile hiçbir şekilde keşfedilip, gerçekleştirilemez. Klasik bir sızma testinde görülebilecek bu senaryoyu açıklamak gerekirse; Ilk adımda iç ağa dahil olan biri farklı yöntemler ile uygulanabilecek Man In The Middle Ortadaki Adam saldırısıyla üzerine aldığı trafik içerisinden, kurumlarda sıkça kullanılan, MS SQL Veritabanı sistemine ait yetkili kullanıcının parolasını elde etmiştir. Veya basit ve tahmin edilebilir bir parolanın kullanılması sonucu saldırgan, kaba kuvvet saldırılarıyla MS SQL Veritabanındaki bir kullanıcıya ait parolayı bulmuştur. Saldırgan, veritabanı kullanıcısına ait elde etmiş olduğu parola ile veritabanı uygulaması tarafında gerekli modüllerin aktifleştirilmesi sonrasında sistem üzerinde komut çalıştırabilecek hale gelmiştir. Yetki yükseltme saldırılarından sonra sistem üzerinde istenilen işlemler yapılabilir hale gelinmiştir. Bu aşamada makinede lokal veya sonradan oturum açmış kullanıcılara ait parolaların açık hali veya hashlenmiş hali elde edilmiştir. Aynı parolaların farklı sistemlerde kullanılmasından dolayı saldırgan, elde etmiş olduklarıyla başka sistemlere de erişim elde edecektir. Bu şekilde alanın genişletilmesi ile saldırgan Domain üzerinde Administrator yetkisine sahip bir kullanıcının bilgilerine eriştikten sonra Active Directory üzerinde kendisine ait Domain Admin yetkisine sahip bir kullanıcı oluşturup, tüm domain sistemlerini ele geçirecektir. TECHNICAL ATTACK VECTORS : Domain Administrative Access Internal Network Access Internal Network Access Traffic Redirection Intercepted SQL / Network Credentials Local Access MS SQL / Share Domain Password Hashes OS/ App Patching Critical Missing Patch, Oracle Database, Backup Password Management MS SQL Default Password Obtain Local Password Hashes Local Password Reuse Accounts With Elevated Privileges Services With Elevated Privileges Domain Administrator CRYPTTECH - PENETRATION TESTING 5

PENTEST METODOLOJİSİ CRYPTTECH'in genel olarak bir Pentest çalışmasındaki uygulamış olduğu adımları, metodolojiyi, aşağıdaki gibi sıralayabiliriz: Kapsam Belirleme (Scope) Bilgi Toplama (Reconnaissance, Discovery) Keşif ve Tarama (Enumeration) Zafiyet Taraması ve Analizi (Vulnerability Scanning) İstismar Etme (Exploitation) Yetki Yükseltme, Yayılma (Post Exploitation) Bilgi, Döküman Toplama (Post Exploitation) İzleri Temizleme (Clearing Tracks) Raporlama (Reporting) GLOBAL ÜRETİCİLERİN YILLARA GÖRE ZAFİYET SAYISI 18.000 16.000 14.000 12.000 10.000 8.000 6.000 4.000 2.000 0 ÖNERİ AÇIKLIK 2009 2010 2011 2012 2013 2014 2015 2016 SCOPE RECONNAISSANCE, DISCOVERY ENUMERATION VULNERABILITY SCANNING EXPLOITATION POST EXPLOITATION CLEARING TRACK REPORTING CRYPTTECH - PENETRATION TESTING 6

Kapsam Belirleme (Scope): Müşteri ile yapılan toplantılar sonrası teste tabi tutulacak sistemlerin tipi, sayısı belirlenir. Test sırasında ortaya çıkan fakat kapsamda belirlenmemiş varlıklar müşteri ile yapılan görüşmeler sonrasında test kapsamına alınabilir veya hariç tutulabilir. Kapsam belirlenip işlemler başlamadan önce yapılan testler ve sonucunda elde edilecek bilgilerin korunmasını sağlayan Gizlilik Sözleşmesi - Non Disclosure Agreement (NDA) imzalanır. Bilgi Toplama (Reconnaissance, Discovery): Hedef ağ ve sistemler hakkında bilgi toplama aşaması. Internet üzerinden, halka açık kaynaklardan OSINT (Open Source Intelligence) yöntemleriyle hedef kurum hakkında elde edilebilecek kişisel bilgiler, domain adresleri, IP adres aralıkları, cihaz listeleri vb. bilgiler elde edilir. Elde edilen bilgiler ve iç ağ testlerinde kullanılacak IP aralıkları ile canlı sistemler keşfedilir. Keşif ve Tarama (Enumeration): Elde edilen aktif sistemler üzerindeki açık portlar tespit edilir. Sistemlerde bulunan açık portların üzerindeki mevcut servislerin isimleri ve işletim sistemi versiyonları keşfedilir. Zafiyet Taraması ve Analizi (Vulnerability Scanning): Keşfedilen sistemlerdeki mevcut servislerin ve işletim sisteminin bilinen açıklıkları ücretli ve açık-kaynak kodlu zafiyet tarama araçları ile taranır. Buna ek olarak manuel bir şekilde de servisler üzerinde zafiyet analizi yapılır. Sistemler üzerinde bulunan öntanımlı kullanıcıların analizi, zayıf parola denemeleri yapılır. İstismar Etme (Exploitation): Tespit edilen işletim sistemi ve servis versiyonları için zafiyetlerin istismar edilmesi aşamasıdır. Keşif ve zafiyet tarama adımlarında elde edilen bilgiler dahilinde istismar edilebilecek sistemler veya servisler üzerinde özelleştirilen exploit kodları denenip, sistemlere sızılmaya çalışılır. Parola korumalı ve sistem üzerinde komut çalıştırma özelliğine sahip uygulamalar üzerinde ise önceki aşamalarda elde edilen bilgiler kullanılarak zincirleme bir saldırı ile sistemlerde komut çalıştırılmaya ve istismar edilmeye çalışılır. Yetki Yükseltme, Yayılma (Post Exploitation): Erişim elde edilen sistemlerde yetki yükseltme işlemleri ile sistem tarafındaki kısıtlar atlatılmaya çalışılır. Linux sistemler için root, Windows sistemler için NT AUTHORITY\SYSTEM yetkileri elde edilmeye çalışılır. Erişim elde edilen sistemler üzerinden, pivot noktası olarak kullanarak, direkt olarak erişilmeyen diğer network/networklere yayılma işlemleri yapılarak tüm sistemlerin ele geçirilmesi denenir. Bilgi, Döküman Toplama (Post Exploitation): Erişim elde edilen sistemlerde çalışan uygulamalara ait giriş bilgileri elde edilir. Önceki adımda elde edilen yüksek yetkiler ile sistemler üzerinde şifrelenmiş veya açık bir şekilde bulunabilen parolalar elde edilir. Sistemler içerisinde bulunan önemli dosyaların, dökümanların bir kopyası alınarak şifrelenmiş bir şekilde müşteriye kanıt olması açısından test sonunda teslim edilir. İzleri Temizleme (Clearing Tracks): Sızma testi sırasında ve yayılma aşamasında kullanılan zararlı yazılımlar, arka kapılar sistemler üzerinden temizlenir. Raporlama (Reporting): Elde edilen bilgilerin ve dökümanların düzgün bir formata dönüştürülerek müşteriye sunulması adımıdır. Oluşturulan bu raporda, yönetici özeti ve ayrıntılı zafiyet açıklamalarını içeren alanlar bulunmaktadır. CRYPTTECH - PENETRATION TESTING 7

NEDEN CRYPTTECH? Sektörde 10 yılı aşkın süredir bilgi güvenliği üzerine ürünler geliştiren CRYPTTECH, sızma testi (penetration test) hizmetini de konusunda uzman ve tecrübeli ekibiyle sağlamaktadır. Bu ekip dünyaca kabul gören sertifikalarıyla hizmet vermektedir. SERTİFİKALARIMIZ CEH OSCP PMP CRYPTTECH SIZMA TESTİ HİZMETLERİ SIZMA TESTİ AMAÇ FAYDA Dış Ağ İnternet üzerinden erişilebilir kurum kaynaklarına (dns, ftp, e-posta, web, güvenlik duvarı vb.), isteğe bağlı olarak yetkili veya yetkisiz kullanıcı haklarıyla, değişik araçlar ve yöntemler kullanılarak gerçekleştirilen, bu sayede güvenlik açıklarını bulmayı ve sömürmeyi amaçlar. İnternet üzerinden ulaşılabilen varlıkların oluşturduğu tehditler tespit edilebilir. İç Ağ Web Uygulama Kablosuz Ağ Mobil Uygulama Yerel ağ içinden gerçekleştirilen güvenlik testlerinde, incelenmesi istenen sunucu ve sistemlerin kurum ağından erişilerek denetlenmesi çalışmalarını kapsamaktadır. Bu denetleme çalışmalarındaki amaç; saldırgan veya çalışanların taklit edilerek bilinen zafiyetlere, zayıf parola kullanımına, yapılandırma hatalarına karşı sistemleri test etmektir. Günümüz için vazgeçilmez bir durumda olan web uygulamaları kurumlar için hayati bir öneme sahiptir. Güvenlik boyutu düşünülmeden tasarlanmış web uygulamaları saldırganlar için birer ön kapı görevi görmekte ve işletmelere ciddi hasarlar verebilmektedir. Web uygulama sızma testlerindeki amaç, manuel ve otomatize araçlar kullanılarak yetkisiz erişimlere veya veri kaybına sebep olabilecek zafiyetleri ortaya çıkarmaktır. Gelişen teknoloji ile beraber hayatımıza giren kablosuz ağ teknolojisi firmaların vazgeçilmez iletişim bileşenlerinden biri haline gelmiştir. İyi yapılandırılmayan kablosuz ağlar firmaların en zayıf noktalarını oluşturmaktadır. Kablosuz ağ kullanarak fiziksel olarak erişilemeyecek sistemlere rahatlıkla erişilebilmektedir. Sızma testlerinde AP(Access Point)'e, yapılandırmaya, AP'ye bağlı kullanıcılara yönelik çeşitli güvenlik testleri uygulanır. Akıllı cihazların popülerliğine paralel olarak mobil uygulamaların kullanımı da yaygınlaşmıştır. Değişik teknolojiler kullanılarak geliştirilen bu tarz uygulamalar da aynı standart web uygulamaları gibi zafiyetler içerebilir. Mobil testler kapsamında Android tabanlı mobil cihazlar için geliştirilen uygulamaların istemci ve sunucu tarafındaki yapıları ve sistemlerinin kontrolü sağlanmaktadır. Bir çalışanın veya ağa dahil olmuş birinin oluşturduğu riskler ortaya çıkarılabilir. Web uygulamalarının neden olabileceği riskler, veri sızıntıları anlaşılabilir. Kablosuz ağ teknolojisini kullanan ağların, sistemlerin ve kullanıcıların oluşturabileceği riskler tespit edilebilir. Geliştirilen bir mobil uygulamanın kurum sistemlerinde veya uygulamayı kullanan kişiler üzerinde oluşturabileceği tehditler ortaya çıkarılabilir. Sosyal Mühendislik Sahte emailler, benzer isimdeki domainler veya telefon aramaları kullanılarak çeşitli kişileri/içerikleri taklit edip, yönlendirilmeye açık kişileri kandırmayı ve sistemlere giriş yollarını aramayı amaçlar. Güvenlik zincirinin en zayıf halkası olan insan etmenini muhtemel sosyal mühendislik saldırılarına karşı bilinçlendirmeyi sağlar. DOS/DDoS ve Performans Testleri İnternet üzerinden erişilebilir ve sürekli erişilebilen durumda kalması gereken kurum kaynaklarına dağıtık olarak performans testleri, servis dışı bırakma (DOS-Denial of Service) testleri yapılmaktadır. Kurumlar, internet üzerinden sunulan hizmetlerine yönelik servis kesintisine neden olabilecek saldırılara karşı durumlarını test edebilir. CRYPTTECH - PENETRATION TESTING 8

Yıldız Teknik Üniversitesi Davutpaşa Kampüsü Teknoloji Geliştirme Bölgesi Zemin Kat : 207 34220 Esenler / İSTANBUL +90 (212) 217 70 17 +90 (212) 217 70 19 info@crypttech.com www.crypttech.com

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim